Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porQuique Riano Modificado hace 10 años
3
Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades de plataforma Sistemas desactualizados Vulnerabilidades en puertos de red Configuración incorrecta en las cuentas de servicio Área expuesta demasiado grande Procedimientos almacenados innecesarios habilitados Amenazas o vulnerabilidades de autenticación Contraseñas no seguras Cuentas de usuario no auditadas Amenazas o vulnerabilidades de Programación Inyección de Código SQL Contraseñas incrustadas en cadenas de conexión Amenazas o vulnerabilidades de Acceso a los datos Cifrado o certificados aplicados incorrectamente. Datos sin cifrar
6
Problema: Elevación de Privilegios Resultado: Accesos no deseados/Ejecución de sentencias perjudiciales/Degradación del rendimiento, etc Ejemplo: Vulnerabilidad en la reutilización de páginas de memoria (http://en.securitylab.ru/notification/355705.php)http://en.securitylab.ru/notification/355705.php Solución: Reducción del Área Expuesta (http://www.microsoft.com/technet/security/bulletin/ms08-040.mspx)
11
Ejemplo: Vulnerabilidad de inyección de SQL Ciega en http://www.hsoft.es/extranet.asp Problema: Programación Pobre Resultado: Inyección de Código SQL/SQL Ciego
15
Microsoft proporciona la herramienta SQL Server Best Practices Analyzer para detectar vulnerabilidades que identifica actualizaciones de seguridad faltantes, carpetas con permisos inadecuados, etc. Permite inventariar y auditar el servidor, comparando su estado con las buenas prácticas y vulnerabilidades conocidas Este proceso ayuda a mejorar las configuraciones y fortalecer la infraestructura Una vez descubiertas vulnerabilidades, la gestión de parches y actualizaciones ayudan a solucionar los problemas detectados
20
Amenazas o Vulnerabilidades de Plataforma
27
2º: Escribimos dentro de glogin.sql la sentencia para que se otorge el rol DBA a nuestro cutreusuario. Amenazas o Vulnerabilidades de Plataforma
29
Desde Oracle Database 7 a Oracle Database 10g 1º- El algoritmo de encriptación DES para las password utilizado es conocido, realizando una concatenación de nombre de usuario y clave, pasándolo a mayúsculas previamente. (http://groups.google.com/group/comp.databases.oracle/msg/83ae557a977fb6ed).http://groups.google.com/group/comp.databases.oracle/msg/83ae557a977fb6ed 2º- Las contraseñas admiten hasta 30 caracteres de longitud. 3º- El Hash se puede visualizar en la tabla DBA_USERS (Columna Password). En Oracle Database 11G 1º- El algoritmo de encriptación es SHA-1. 2º- Las contraseñas admiten hasta 50 caracteres de longitud. 3º- El Hash NO se puede visualizar en la tabla DBA_USERS. Ubicaciones de las claves en Oracle: 1º- Vista DBA_USERS y Tabla SYS.USER$. 2º- Fichero de Claves de Oracle(PWD.ora. 3º- Fichero de Datos del Tablespace SYSTEM (System01.dbf). 4º- Ficheros de Exportación de Oracle (Dumpfiles, *.dmp). 5º- Archivados (Archive Log Mode, *.arch).
30
Amenazas o Vulnerabilidades de Autenticación
37
Fuente: http://www.databasesecurity.com/dbsec/comparison.pdfhttp://www.databasesecurity.com/dbsec/comparison.pdf
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.