SQL Server安全性

第1章 SQLServer安全：基礎(chǔ)知識
1.1 SQLServer的歷史
1.2 SQLServer的版本
1.3 通用數(shù)據(jù)庫安全技術(shù)
1.4 SQLServer的安全漏洞
1.4.1 病毒解析：Slammer為什么會如此成功
1.4.2 預(yù)防另一個可能的S1amm
1.5 小結(jié)
第2章 圍攻SQLServer.攻擊過程分析
2.1 挑選理想的工具
2.2 數(shù)據(jù)還是主機
2.3 無需認證的攻擊
2.3.1 利用緩沖區(qū)溢出
2.3.2 SQL監(jiān)控器端口攻擊
2.3.3 hello故障
2.3.4獵取密碼
2.4 需要認證的攻擊
2.4.1 緩沖區(qū)溢出
2.4.2 擴展存儲過程
2.4.3 繞過訪問控制機制
2.5 資源
2.6 代碼列表1
2.7 代碼列表2
2.8 代碼列表3
第3章 SQLSenter的安裝技巧
3.1 規(guī)劃安裝過程
3.1.1 數(shù)據(jù)安全
3.1.2 容錯能力
3.1.3 備份方案
3.1.4 災(zāi)難恢復(fù)
3.2 操作系統(tǒng)的因素
3.3 運行安裝程序
3.4 鎖定服務(wù)器
3.5 核對列表
第4章 網(wǎng)絡(luò)庫和安全連接
4.1 客戶／服務(wù)器連接
4.2 安全套接字層
4.2.1 SSL基礎(chǔ)
4.2.2 SSL的配置
4.3 SQLServer網(wǎng)絡(luò)庫
4.3.1 主網(wǎng)絡(luò)庫
4.3.2 從網(wǎng)絡(luò)庫
4.4 配置連接
4.4.1 服務(wù)器網(wǎng)絡(luò)實用程序
4.4.2 客戶端網(wǎng)絡(luò)實用程序
4.5 優(yōu)秀的經(jīng)驗
4.5.1 永遠不要向互聯(lián)網(wǎng)暴露您的SQLServer端口
4.5.2 盡可能使用TCP／IP網(wǎng)絡(luò)庫
4.5.3 在確實需要時再配置網(wǎng)絡(luò)庫
4.5.4 使用128位的SSL連接而不要使用40位的SSL連接
4.5.5 設(shè)置一個SSL證書以確保進行安全登錄
4.5.6 對高敏感的數(shù)據(jù)進行強制加密
4.5.7 配置TCP／IP的時候請使用隱藏服務(wù)器選項
第5章 認證和授權(quán)
5.1 認證(Authentication)
5.1.1 登錄
5.1.2 數(shù)據(jù)庫用戶
5.1.3 角色
5.2 授權(quán)(AuthOhzatiOn)和許可(Permissions)
5.2.1 GRANT、REVOKE和DENY
5.2.2 審核訪問(AuditingAccess)
5.2.3 所有權(quán)鏈(OwnershipChains)
5.3 SyslOginS、Sysprotects、Syspermissions和其他特殊賬戶
5.3.1 SID與SUID
5.3.2 syslogins和sysxlogins
5.3.3 SySUSer3
5.3.4 syspermissions
5.3.5 sysprotects
5.4 優(yōu)秀的經(jīng)驗
5.4.1 Windows活動目錄：集中式管理
5.4.2 SQLServer集中式角色管理
5.4.3 挑選適當(dāng)?shù)姆椒?br />第6章 企業(yè)中的SQLServer
6.1 SQLServer的復(fù)制
6.1.1 復(fù)制操作概論
6.1.2 復(fù)制時要考慮的安全問題
6.2 多服務(wù)器系統(tǒng)管理
6.3 活動目錄集成
第7章 審核與入侵檢測
7.1 案例分析
7.1.1 RetailCo數(shù)據(jù)庫的運作規(guī)模
7.1.2 RetailCo的管理結(jié)構(gòu)
7.1.3 安全策略
7.1.4 怪異之事和合乎法律程序的檢查
7.1.5 結(jié)論
7.2 SQLServer審核
7.2.1 啟用標(biāo)準(zhǔn)的審核
7.2.2 C2級審核
7.2.3 擴展審核功能
7.2.4 使用內(nèi)置跟蹤函數(shù)配置手動審核
7.3 SQLServer警報
7.3.1 配置SQLServer警報
7.3.2 將SQLServer警報用作入侵檢測系統(tǒng)
第8章 數(shù)據(jù)加密技術(shù)
8.1 加密技術(shù)概覽
8.2 哈希算法
8.3 Salt(Salts)
8.4 密鑰管理
8.5 內(nèi)置加密函數(shù)
8.6 加密自定義存儲過程
8.7 加密SQLServer表數(shù)據(jù)
8.8 SQLServer網(wǎng)絡(luò)通信的加密
8.9 中間層加密
8.10 第三方COM組件
8.11 加密API
第9章 SQL注入：當(dāng)防火墻鞭長莫及時
9.1 SQL注入簡述
9.2 案例研究：在線外貿(mào)交易系統(tǒng)
9.2.1 審核技術(shù)
9.2.2 漏洞識別
9.2.3 攻擊系統(tǒng)
9.2.4 案例分析
9.3 高級主題
9.3.1 利用時間延遲提取有用信息
9.3.2 系統(tǒng)級攻擊
9.3.3 為什么SQLServer容易受到SQL注入的攻
9.3.4 攻擊方式
9.4 SQL注入的防護
9.4.1 輸入驗證(1nputValidation)
9.4.2 鑒別不好的設(shè)計
9.4.3 增強設(shè)計
9.5 優(yōu)秀的經(jīng)驗
9.5.1 設(shè)計
9.5.2 開發(fā)／實現(xiàn)
9.5.3 QA／測試
9.5.4 配置
第10章 安全體系結(jié)構(gòu)
10.1 深度防護
10.2 安全性需求
10.2.1 收集需求
10.2.2 已有的環(huán)境
10.2.3 理解應(yīng)用程序的安全需求
10.2.4保護您的應(yīng)用程序
10.3 規(guī)劃
10.3.1 依托技術(shù)做決策
10.3.2 依托評審過程做決策
10.3.3 依托代碼標(biāo)準(zhǔn)做決策
10.3.4 防止安全水準(zhǔn)的下降
10.4 開發(fā)
10.4.1 良好的編碼習(xí)慣
10.4.2 編寫存儲過程的一些良好的習(xí)慣
10.4.3 輸入驗證
10.4.4 推薦的開發(fā)防護措施
10.4.5 一些不好的編碼習(xí)慣及其克服方法
10.5 測試
10.5.1 測試的手段
10.5.2 模糊化處理(Fuzzing)
10.5.3 一些技巧
10.5.4 深度覆蓋
10.5.5 結(jié)果報告
10.6 配置
10.6.1 配置的規(guī)劃
10.6.2 過程的構(gòu)造
10.6.3 問題的解決方法
10.7 維護
10.7.1 安全+不安全=不安全
10.7.2 閱讀日志
10.7.3 注意收集證據(jù)
附錄A 系統(tǒng)存儲過程與擴展存儲過程
A.1 限制存儲過程的風(fēng)險
A.1.1 將攻擊范圍壓縮到最小
A.1.2 將訪問權(quán)限降到最低
A.1.3 將應(yīng)用程序運行時的賬產(chǎn)權(quán)限調(diào)整到最小
A.2 存儲過程的攻擊策略
A.2.1 創(chuàng)建特洛伊木馬存儲過程
A.2.2 利用社會工程學(xué)使用系統(tǒng)存儲過程
A.3 高危險性的系統(tǒng)存儲過程和擴展存儲過程
A.3.1 訪問注冊表的擴展存儲過程
A.3.2 暴露SQLServer開發(fā)環(huán)境中的存儲過程
A.3.3 OLE自動化擴展存儲過程
A.3.4 訪問操作系統(tǒng)的存儲過程
A.3.5 使用電子郵件的存儲過程
A.4 防御策略
A.4.1 刪除不需要的存儲過程
A.4.2 撤銷存儲過程的公共訪問權(quán)限
A.4.3 審核和跟蹤對于SQLServer源代碼和許可的變更
附錄B 影響SQLServer安全的一些其他技術(shù)
B.1 ⅥsualStu出O、MicrosonOmce和COM連通性工具
B.1.1 Ⅵsual StudiO
B.1.2 Microson Of6Ce"
B.1.3 數(shù)據(jù)訪問API
B.2 SQLServerMail接口
B.2.1 SQLMall
B.2.2 SQLAgentMail
B.3 Internet信息服務(wù)集成
B.4 SQLServer開發(fā)員和系統(tǒng)管理員工具
B.4.1 SQL-DMO
B.4.2 SQL-NS
B.4.3 DB-Library APl
B.4.4 1SQL.exe和OSQLex~工具
B.4.5 分發(fā)組件
B.4.6 服務(wù)器的連接
B.4.7 數(shù)據(jù)傳輸服務(wù)DTS
B.4.8 批復(fù)制DTS任務(wù)
B.4.9 擴展存儲過程的開發(fā)
B.4.10 列表數(shù)據(jù)流TDS
附錄C 連接字符串
C.1 連接屬性
C.2 連接字符串示例
C.3 連接字符串的存放位置
C.3.1 Web.conflg(ASP.NET)或global.asa(ASP)文件
C.3.2 注冊表
C.3.3 使用DPAPI加密的文本文件
C.3.4 UDL文件
C.3.5 包含文本文件
C.3.6 COM+目錄
附錄D 安全核對列表
D.1 SQLServer版本核對列表
D.2 Post-Install核對列表
D.3 維護核對列表


【媒體評論】