62,041
社区成员
发帖
与我相关
我的任务
分享求助各位大神,远程数据库总是被动手脚
我是通过远程桌面进行管理的,一开始发现不知哪个缺德玩意把我数据库全删了(好几个数据库,网站都要用到),后来我改了密码,过了几天发现网站又出问题了,结果是某个库的表又被删除了,我的登录名是sa ,我看数据库安全性下的登录名有好几个,是不是那里的原因(下面有截图),能不能把那些都禁止了,禁止了影不影响数据库整体登录,还是说怎么设置下,只能用sa登录
...全文
请发表友善的回复…
发表回复
Rajesh_James 2014-07-25
- 打赏
- 举报
最好Delete也不要给,删除只能修改数据状态
by_封爱 2014-07-25
- 打赏
- 举报
所以 要做防守就要懂得他人如何攻击.
正所谓知己知彼百战不殆
比如 设置网站目录的权限只有netservice而不是everyone.
上传时候做判断不允许其他类型文件
参数化什么的 这都是基本的..
by_封爱 2014-07-25
- 打赏
- 举报
首先 回答下你6#的疑问
所谓的攻击 不是数据库.而是程序本身正如5#说的一样别人上传了一个aspx文件..直接就可以运行
当然如果你UI权限够大 这个aspx什么都可以干了 首先看看webconfig 里面数据库代码是什么.
或者执行点cmd创建几个window用户..这全部权限就都有了 想格式互你硬盘都行.
然后就是你说的 <杀毒软件和防火墙> 一点用都没有...
难道 你所谓的<杀毒软件和防火墙>能把下面的代码删了吗?
System.IO.File.ReadAllText(server.mappath("~/web.config"))..
霜寒月冷 2014-07-25
- 打赏
- 举报
Sql 表分配权限
--添加只允许访问指定表的用户:
exec sp_addlogin 'uid','P@ssw0rd','DBA2'
--添加到数据库
exec sp_grantdbaccess 'uid'
--分配整表权限
GRANT SELECT , INSERT , UPDATE , DELETE ON A TO uid
----分配权限到具体的列
--GRANT SELECT , UPDATE ON table1(id,AA) TO [用户名]
黑手党维多 2014-07-25
- 打赏
- 举报
大神,这一块还真是有点生疏,能不能推荐点实用的技术文章看一下,谢谢[/quote]
这个主要是靠经验来的,首先从网站的漏洞开使查找,看看是否有上传的漏洞,其次往自己的站点上传一个asp木马,用asp木马来检验网站和服务器的漏洞,如cmd的权限,svu的提权之类的,还有网站文件夹的权限
想知道怎么防,首先要了解别人是怎么攻的[/quote]
谢谢解答,看样子抽空我有必要学习下如何攻击数据库啊,另外我从远程桌面装下杀毒软件和防火墙应该能好点吧,哎,悲剧啊。。。。
md5e 2014-07-25
- 打赏
- 举报
大神,这一块还真是有点生疏,能不能推荐点实用的技术文章看一下,谢谢[/quote]
这个主要是靠经验来的,首先从网站的漏洞开使查找,看看是否有上传的漏洞,其次往自己的站点上传一个asp木马,用asp木马来检验网站和服务器的漏洞,如cmd的权限,svu的提权之类的,还有网站文件夹的权限
想知道怎么防,首先要了解别人是怎么攻的
黑手党维多 2014-07-25
- 打赏
- 举报
大神,这一块还真是有点生疏,能不能推荐点实用的技术文章看一下,谢谢
黑手党维多 2014-07-25
- 打赏
- 举报
可是sql有漏洞不应该表都被删了啊,后台没有动过,一直修改的前台,而且sql那部分它用的存储过程,存储过程本身也是加密的
by_封爱 2014-07-25
- 打赏
- 举报
你要从程序下手啊...
可能是你的程序有漏洞 你在这么修改sql的sa都没用啊....
md5e 2014-07-25
- 打赏
- 举报
说明你的权限开得太大了贝,一般我们都是直接禁用sa
然后对网站和系统符号进行权限设置,不能把权限开得太高
