JК
Искусство вторжения :: Митник Кевин
Страница: 307 из 415Работая в ИТ-департаменте крупной больницы, я видел, что все защищенные базы данных архивируются обычным образом и хранятся потом безо всякой з а щ и т ы так, что любой сотрудник может получить к ним доступ.
Роберт использовал еще один аспект этого распространенного упущения, когда он обнаружил копии кодов программы коммерческого приложения в директории общего доступа на Интернет-сервере.
ЗАЩИТА ОТ АТАК MS S QL I N JEC T I ON
Роберт сознательно удалил все проверки входных команд из Интернет-приложений, которые должны были предотвращать атаки SQL-injection. Следующие шаги могут защитить вашу компанию от атаки, которую использовал Роберт:
• никогда не запускайте сервер Microsoft SQL в контексте работы системы — старайтесь запускать его иным способом;
• разрабатывая программы, создавайте коды так, чтобы не генерировать динамические SQL-запросы;
• используйте процедуры хранения, чтобы выполнять SQL-запро-сы, создайте аккаунт только для выполнения таких сохраненных процедур и определите систему защиты от проникновения в этот аккаунт.
ИСПОЛЬЗОВАНИЕ С Е Р В И С О В MICROSOFT VPN
В качестве средства авторизации Microsoft V P N применяет авторизацию Windows, что позволяет атакующему использовать недостаточно защищенные пароли для проникновения в VPN. В некоторых ситуациях можно потребовать для доступа к V P N авторизации при помощи смарт-карт. Иногда имеет смысл контролировать доступ к V P N при помощи проверки IP-адресов клиентов.
Роберт использовал еще один аспект этого распространенного упущения, когда он обнаружил копии кодов программы коммерческого приложения в директории общего доступа на Интернет-сервере.
ЗАЩИТА ОТ АТАК MS S QL I N JEC T I ON
Роберт сознательно удалил все проверки входных команд из Интернет-приложений, которые должны были предотвращать атаки SQL-injection. Следующие шаги могут защитить вашу компанию от атаки, которую использовал Роберт:
• никогда не запускайте сервер Microsoft SQL в контексте работы системы — старайтесь запускать его иным способом;
• разрабатывая программы, создавайте коды так, чтобы не генерировать динамические SQL-запросы;
• используйте процедуры хранения, чтобы выполнять SQL-запро-сы, создайте аккаунт только для выполнения таких сохраненных процедур и определите систему защиты от проникновения в этот аккаунт.
ИСПОЛЬЗОВАНИЕ С Е Р В И С О В MICROSOFT VPN
В качестве средства авторизации Microsoft V P N применяет авторизацию Windows, что позволяет атакующему использовать недостаточно защищенные пароли для проникновения в VPN. В некоторых ситуациях можно потребовать для доступа к V P N авторизации при помощи смарт-карт. Иногда имеет смысл контролировать доступ к V P N при помощи проверки IP-адресов клиентов.