2020-09-28 02:27发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨, 在对我们的Sybase ... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
在对我们的Sybase ASE环境进行审核之后,我们得出了一些发现。 一种是为角色启用密码。 这样可以防止用户将自己的已授予角色授予其他用户。 它以为这只是向现有角色添加密码,而且这是透明的,不需要用户采取任何行动。 发生的事情是用户获得了拒绝访问角色中定义的对象的权限。 我当时以为sa或具有sa_role/sso_role的用户可以做到这一点,但是在深入研究之后,似乎必须由用户自己通过使用密码'somepw'来运行set role 来由用户自己激活密码 。 这打破了密码应该是用户秘密的想法。 一种选择是使用用户密码登录并激活角色,但这当然是一个重大的安全漏洞,实际上并不可行。 我查看了登录配置文件,但并未真正找到实现此目的的方法。 还查看了细化权限,但这需要我们没有的ASE_PRIVACY许可证。
任何解决此问题的建议将不胜感激。
嗨,巴特,
感谢您的回答。 我还认为,没有sso_role的用户可以将角色授予其他用户是很牵强的。 但是,由于我们的Sybase环境很小且非常稳定,因此在ASE 15早期版本之后,我不再100%更新可能的状态。 我已向审核员发送了一封电子邮件,以获取确认在何处定义了此要求,或者是否以某种方式从SQL Server或某些其他供应商那里继承了该要求。 我也质疑这一发现是否适用于系统和/或本地客户创建的角色。 就是说,由于有一个密码选项,它的用途和含义是什么,它实际上可以防止...背后的想法是什么。
在审计员的发现之下:
主题:
没有密码的角色
观察:
在审核Sybase数据库设置期间,我们发现数据库中的角色不受密码保护。
风险:
未经授权的人可能授予并激活具有关键权限的角色。
---
如果您尚未尝试为角色设置密码,那么至少从isql会提示用户:
isql -Utest -w300
密码:
信息11141,级别16,状态1:
服务器" TestASE157":
启用角色" role_pw_test_ro"所需的密码。
1>从testdb..items中选择count(*)
2>前进
消息10330,级别14,状态1:服务器" TestASE157",第1行:对对象项,数据库testdb,所有者dbo的SELECT权限被拒绝
1>在
-----------
2152(受影响的1行)
1>退出
致谢!
奥托·韦斯特海姆(Per Otto Westheim)
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 十字路口无法择 的问题《使用密码激活Dbroles》','https://www.easysap.com/answer/108344/290108.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嗨,巴特,
感谢您的回答。 我还认为,没有sso_role的用户可以将角色授予其他用户是很牵强的。 但是,由于我们的Sybase环境很小且非常稳定,因此在ASE 15早期版本之后,我不再100%更新可能的状态。 我已向审核员发送了一封电子邮件,以获取确认在何处定义了此要求,或者是否以某种方式从SQL Server或某些其他供应商那里继承了该要求。 我也质疑这一发现是否适用于系统和/或本地客户创建的角色。 就是说,由于有一个密码选项,它的用途和含义是什么,它实际上可以防止...背后的想法是什么。
在审计员的发现之下:
主题:
没有密码的角色
观察:
在审核Sybase数据库设置期间,我们发现数据库中的角色不受密码保护。
风险:
未经授权的人可能授予并激活具有关键权限的角色。
---
如果您尚未尝试为角色设置密码,那么至少从isql会提示用户:
isql -Utest -w300
密码:
信息11141,级别16,状态1:
服务器" TestASE157":
启用角色" role_pw_test_ro"所需的密码。
1>从testdb..items中选择count(*)
2>前进
消息10330,级别14,状态1:服务器" TestASE157",第1行:对对象项,数据库testdb,所有者dbo的SELECT权限被拒绝
1>在
上设置带有passwd'******'的角色role_pw_test_ro2>前进
1>从testdb..items中选择count(*)
2>前进
-----------
2152(受影响的1行)
1>退出
致谢!
奥托·韦斯特海姆(Per Otto Westheim)
一周热门 更多>