-
SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
הנה דוגמהמניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)
-
SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
הנה דוגמהמניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)
-
@חגי אמר באבטחת מידע:
הנה דוגמה
מה רואים שם?
{ "code": "download_cap_exceeded", "message": "Cannot download file, download bandwidth or transaction (Class B) cap exceeded. See the Caps & Alerts page to increase your cap.", "status": 403 }
-
SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
הנה דוגמהמניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)
@חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )
אחדד
שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"לנקודת השאלה היא
בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאותאיך הויזואל סטודיו שולח את המידע
האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים -
@חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )
אחדד
שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"לנקודת השאלה היא
בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאותאיך הויזואל סטודיו שולח את המידע
האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים -
@חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )
אחדד
שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"לנקודת השאלה היא
בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאותאיך הויזואל סטודיו שולח את המידע
האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים@mekev אמר באבטחת מידע:
איך הויזואל סטודיו שולח את המידע
ויזואל סטודיו אינו מתקשר עם מסד הנתונים, התוכנה שלך היא שעושה זאת.
בחירה בחיבור מאובטח TLS מתאפשרת בעת יצירתו ע"י הגדרת הפרמטרEncrypt
לTrue
בConnection String
.var builder = new SqlConnectionStringBuilder { DataSource = "ServerName", InitialCatalog = "DatabaseName", UserID = "UserName", Password = "UserPassword", Encrypt = true }; var connection = new SqlConnection(builder.ConnectionString);
כמובן שעליך לטפל ברמת המסד ביצירת תעודת אבטחה שתוכר ע"י הלקוח (ע"י יצירת תעודה חתומה ע"י CA כדוגמת Let’s Encrypt או ע"י יצוא התעודה והתקנה אצל הלקוח, לחלופין ניתן לבטל את האימות ע"י הוספת
TrustServerCertificate=True
לConnection String
[לא מומלץ])
כמו כן יש לאפשר במסד כניסת חיבורים מאובטחים. -
@mekev אמר באבטחת מידע:
איך הויזואל סטודיו שולח את המידע
ויזואל סטודיו אינו מתקשר עם מסד הנתונים, התוכנה שלך היא שעושה זאת.
בחירה בחיבור מאובטח TLS מתאפשרת בעת יצירתו ע"י הגדרת הפרמטרEncrypt
לTrue
בConnection String
.var builder = new SqlConnectionStringBuilder { DataSource = "ServerName", InitialCatalog = "DatabaseName", UserID = "UserName", Password = "UserPassword", Encrypt = true }; var connection = new SqlConnection(builder.ConnectionString);
כמובן שעליך לטפל ברמת המסד ביצירת תעודת אבטחה שתוכר ע"י הלקוח (ע"י יצירת תעודה חתומה ע"י CA כדוגמת Let’s Encrypt או ע"י יצוא התעודה והתקנה אצל הלקוח, לחלופין ניתן לבטל את האימות ע"י הוספת
TrustServerCertificate=True
לConnection String
[לא מומלץ])
כמו כן יש לאפשר במסד כניסת חיבורים מאובטחים. -
@חגי אמר באבטחת מידע:
@avramk אמר באבטחת מידע:
@חגי rdp לא יותר פריץ?
אתה מכיר דרך לפרוץ RDP?
זה מהשיטות אימות הגרועות ביותר
-
@חגי אמר באבטחת מידע:
@avramk אמר באבטחת מידע:
@חגי rdp לא יותר פריץ?
אתה מכיר דרך לפרוץ RDP?
זה מהשיטות אימות הגרועות ביותר
-
@avramk
יש לך פרצה ואתה לא רוצה לפרסם?
אחרת אני לא מבין מה הנקודה שהאימות שלו גרוע, זה משתמש וסיסמה@חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)
-
@חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)
@avramk
אז לא נראה לי שיש מה להשוות בין הפרצה של SQL SERVER לפרצה של RDP,
SQL SERVER נותן לך MITM שזאת פרצה במידה ואתה כבר יושב באותה רשת עם הSQL SERVER, אבל זאת פרצה מאוד פשוטה למימוש ומאוד מסוכנת.
RDP הוא יותר מצוי, אבל פחות פריץ, אז באופן כללי מי שיש לו RDP פתוח לרשת החיצונית חשוף יותר לסכנות, אבל כמו שכתבת, צריך בשביל זה לנסות הרבה סיסמאות, והפרוטוקול עצמו כן מונע במידת מה את הפריצות האלה ע"י השהיה בין ניסיון לניסיון, ובשביל לעקוף את זה צריך פרצת אבטחה שכרגע אין. -
@חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)
@avramk אמר באבטחת מידע:
אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם
יש גם מתקפות דרך חשבונות VPN
לכאורה בהרבה מהמקרים זה פשוט מדליפה של הסיסמה
העובדים לא תמיד יודעים להגן על הסיסמה בצורה טובה,
ויש וירוסים שמתמקדים באיתור סיסמאות. -
@avramk
אז לא נראה לי שיש מה להשוות בין הפרצה של SQL SERVER לפרצה של RDP,
SQL SERVER נותן לך MITM שזאת פרצה במידה ואתה כבר יושב באותה רשת עם הSQL SERVER, אבל זאת פרצה מאוד פשוטה למימוש ומאוד מסוכנת.
RDP הוא יותר מצוי, אבל פחות פריץ, אז באופן כללי מי שיש לו RDP פתוח לרשת החיצונית חשוף יותר לסכנות, אבל כמו שכתבת, צריך בשביל זה לנסות הרבה סיסמאות, והפרוטוקול עצמו כן מונע במידת מה את הפריצות האלה ע"י השהיה בין ניסיון לניסיון, ובשביל לעקוף את זה צריך פרצת אבטחה שכרגע אין. -
@חגי פרצתי כמה פעמים ל rdp פתוח עם מדריכים ביוטיוב למרות שאין לי כמעט היכירות עם העולם הזה
-
הקו המנחה צריך להיות שמייקרוסופט הם לא טפשים. יש בקורת ויש טעויות וכו' אבל זו טעות בד"כ להאשים אותם בדברים שבר בי רב דחד יומא יודע.
@yossiz אני אכן לא מצאתי המלצה של מקרוסופט שלא להשתמש בSQL SERVER פתוח לעולם אז התפלאתי על דברי @חגי. יכול להיות שכמו כמעט תמיד זו בעיה של על מי לזרוק את האחריות על ההגדרות, אני רואה שהם טרחו להשקיע בעניין
https://docs.microsoft.com/en-us/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-ver15 -
@yossiz אני אכן לא מצאתי המלצה של מקרוסופט שלא להשתמש בSQL SERVER פתוח לעולם אז התפלאתי על דברי @חגי. יכול להיות שכמו כמעט תמיד זו בעיה של על מי לזרוק את האחריות על ההגדרות, אני רואה שהם טרחו להשקיע בעניין
https://docs.microsoft.com/en-us/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-ver15 -
הקו המנחה צריך להיות שמייקרוסופט הם לא טפשים. יש בקורת ויש טעויות וכו' אבל זו טעות בד"כ להאשים אותם בדברים שבר בי רב דחד יומא יודע.
@yossiz אמר באבטחת מידע:
הקו המנחה צריך להיות שמייקרוסופט הם לא טפשים. יש בקורת ויש טעויות וכו' אבל זו טעות בד"כ להאשים אותם בדברים שבר בי רב דחד יומא יודע.
זה עובדה אבל, אני באמת התפלאתי למה הם לא עושים מנגנון אימות יותר מוצלח לrdp לפחות כמה זה שיש ל vpn או לחילופין חסימת כתובות לאחר x נסיונות לוגין. או שאני לא מספיק חזק בנושא של האימותים ובכלל..