ব্যবহারকারীদের এসকিউএল সার্ভারের সাথে সংযুক্ত হওয়ার সম্ভাব্য ঝুঁকিগুলি, এক্সেলের মাধ্যমে সিসাদমিন হিসাবে?

8

আমি সম্প্রতি আবিষ্কার করেছি যে ফিনান্স বিভাগের একটি বিশাল সোয়াথ এক্সেলটি আমার এসকিউএল সার্ভার 2000 সংস্থার সাথে সিসাদমিন ভূমিকার সাথে একটি অ্যাকাউন্টের সাথে সংযোগ করতে ব্যবহার করছে। আমার বর্তমান ঝুঁকিগুলি কী যে আমাকে তত্ক্ষণাত্ শক্তিগুলির সাথে যোগাযোগ করা উচিত?

sql-server  security 
swasheck
সূত্র
জন সেগেল
1
টিপিটিবি = যে শক্তিগুলি রয়েছে
1
@ জোনসিগেল, আমি উল্লেখ করব যে আমার উত্তরটি কেন এটি খারাপ আর্থিক প্রবণতা এবং সেই সাথে যে প্রশ্নটির সাথে আপনি লিঙ্ক করেছেন তার সমস্ত ডিবিএসের জন্য আরও সাধারণ সুরক্ষা ইস্যু কেন তা ব্যাখ্যা করতে বিশেষভাবে প্রযোজ্য।
এইচএলজিইএম
আমি এটিও উল্লেখ করব (এবং সম্ভবত আমার প্রশ্নটি এটি একটি আইফোনে পোস্ট করা সত্ত্বেও পরিষ্কার ছিল না) যে আমার উদ্বেগ একটি পরিচালনা পৃষ্ঠের সাথে কম এবং এক্সেলের সাথে বেশি এবং নির্দিষ্ট ভেক্টর হিসাবে এক্সেলের সাথে সম্ভাব্য উদ্বেগগুলি।
সোয়াশেক

উত্তর:

9

বেশ কিছু।

আমি তাদের ব্যবহারের সম্ভাব্য দক্ষতা দিয়ে শুরু করব xp_cmdshell(এবং sp_configureযদি তারা না পারে, তবে তারা করতে পারে ... এবং অ্যাকাউন্টটি যা কিছু ফিরিয়ে দিয়েছে তা xp_cmdshell 'whoami.exe'করতে পারে ....), তারপরে তাদের দক্ষতার দিকে এগিয়ে যান drop database

আরও ঝুঁকির মধ্যে রয়েছে কেবল অর্থ ব্যবহারকারীরা এই জিনিসগুলি করতে সক্ষম হবেন না, তবে ফাইন্যান্স মেশিনের কোনও প্রোগ্রাম আপনার সিসাদমিন সংযোগের শংসাপত্রগুলিতে অ্যাক্সেস অর্জন করে ...

(অন্যান্য সম্ভাব্য ঝুঁকির মধ্যে এটি আবিষ্কারের ঝুঁকির মধ্যে রয়েছে যে টিপিটিবি-র মধ্যে একটি এটি এইভাবে স্থাপন করেছে)

podiluska
সূত্র
... বা ড্রপ টেবিল, বা মুছুন, বা ছাঁটাই করুন, বাselect name, salary from employees
অ্যারন বারট্র্যান্ড
3
বাupdate salaries set salary = 0 where employee='swasheck''s boss'
পোডিলুস্কা
5
এবং এগুলি সমস্ত সম্ভাব্য দূষিত জিনিস। লোকজনকে সিসাদমিন অধিকার প্রদান করা তাদের সম্ভাব্য দুর্ঘটনাজনিত জিনিসে প্রকাশ করে।
অ্যারন বারট্র্যান্ড
6

এটি তাদের মূলত ডেটাবেজে যে কিছু করতে চায় তা করতে দেয়। তারা টেবিলগুলি কাটা / পরিবর্তন / ড্রপ করতে পারে। মুছুন, সন্নিবেশ করুন বা নির্দিষ্ট রেকর্ড পরিবর্তন করুন। যত তাড়াতাড়ি সম্ভব এটির সমাধান করার জন্য আমি আপনাকে সুপারিশ করব।

zane
সূত্র
6

আর্থিক লোকেরা যে জিনিসটি বুঝতে হবে তা হ'ল এক্সেলটিকে ব্যবহারকারী ব্যবহারকারী হিসাবে আপনি ডাটাবেস বা অ্যাপ্লিকেশনটিতে অন্তর্নির্মিত প্রতিটি অভ্যন্তরীণ নিয়ন্ত্রণকে অতিক্রম করেছেন। একজন দক্ষ নিরীক্ষক এ জন্য তাদের উচ্ছেদ করবেন। সুতরাং উদাহরণস্বরূপ, যদি আপনার নিয়ন্ত্রণগুলি তৈরি করা হয় যাতে দুটি পৃথক লোক অবশ্যই ব্যয়কে অনুমোদন করতে পারে (সম্ভাব্য জালিয়াতি এড়াতে) তবে এইভাবে এক্সেল স্প্রেডশিটটি সংযুক্ত করে, আপনি ডেটার উপর এই নিয়ন্ত্রণটিকে সম্পূর্ণভাবে সরিয়ে দিয়েছেন।

HLGEM
সূত্র
5

যদি কোনও দূষিত ব্যবহারকারী আপনার ডেটা ধ্বংস করে দেয় তবে আপনি ব্যাকআপ থেকে পুনরুদ্ধার করতে পারেন - আপনার এই দৃশ্যের জন্য ব্যবসায়ের উপরের প্রভাব গণনা করতে সক্ষম হওয়া উচিত।

সবচেয়ে খারাপটি হ'ল আপনার সিস্টেমে আর সততা নেই integrity যদি কোনও ব্যবহারকারী কোনও অ-বিপর্যয়কর উপায়ে ডেটা ম্যানিপুলেট করে, আপনার ব্যাকআপগুলি আর উপলভ্য বিকল্প হিসাবে না পাওয়া পর্যন্ত আপনি ক্ষতিটি আবিষ্কার করতে পারবেন না। ব্যবসায়ের সেই সার্ভারে থাকা কোনও ডেটার বৈধতা বিশ্বাস করতে না পারার প্রভাব বিবেচনা করুন।

SQLFox
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.