Comparaison des aspects sécurité entre MySQL 5.5 et MS SQL Server 2008

Magazine
Marque
MISC
Numéro
61
Mois de parution
mai 2012
Domaines


Résumé
Les serveurs de bases de données sont de fréquentes cibles d'attaques, il est donc bien souvent nécessaire de durcir leurs configurations afin de mieux les protéger et de limiter au maximum les conséquences d'une éventuelle intrusion.

1. Sécurité des mécanismes d'authentification

Le premier élément de sécurité d'un serveur de base de données tel que MySQL ou SQL Server réside dans l'authentification de ses utilisateurs. Dans les deux cas, il n'existe pas de mécanisme d'authentification anonyme par défaut. Il est donc nécessaire de posséder un couple identifiant/mot de passe valide afin de se loguer.

1.1 Les deux mécanismes d'authentification de SQL Server 2008

Le SGBD de Microsoft possède deux mécanismes d'authentification : une via le logon Windows ou l'autre via un compte dit « SQL pur ».

MISC_SQL_01

L'utilisation de l'authentification via le logon Windows permet une gestion simplifiée (généralement via un Active Directory) mais pose quelques problèmes de sécurité. En effet, la compromission, même temporaire, d'un seul compte Windows peut rapidement s'etendre à la base de données.

Malgré sa rigidité, l'utilisation du compte « SQL pur » permet généralement une meilleure sécurisation de...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Télétravail : comment ne pas sacrifier la sécurité ?

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Le dossier du précédent numéro traitait du concept de « Zero Trust ». Le numéro actuel est en quelque sorte une suite logique : nous passons d’un idéal où l’accès distant est possible « par design », à une réalité où il a fallu faire des choix fonctionnels et être conciliant avec la sécurité.

Amélioration de l’infrastructure

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Notre serveur est en place et notre intranet est entièrement fonctionnel ! Il est temps, maintenant, d’aller plus loin et de s’assurer qu’il fonctionne aussi efficacement que possible et de se faciliter, autant que possible aussi, sa maintenance. Dans la même idée, nous allons aussi en profiter pour mettre en place des sauvegardes afin de nous prémunir d’une éventuelle perte des données du wiki.

Détection d'anomalies par ACP

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Retour de vacances. L’analyse du SIEM après un mois d’absence montre que dix incidents ont été déclenchés sur la base des alertes automatiques et ont pu être gérés convenablement par la chaîne de traitement d’incidents. Tout est-il sous contrôle ? Un analyste aimerait rapidement s’en assurer en complétant cette supervision par sa propre analyse du mois écoulé. Mais par où commencer ? Il est inenvisageable de regarder un mois de logs « rapidement » et d’autant plus quand on ne sait pas précisément ce que l’on cherche… Une solution possible est de recourir à des outils statistiques qui permettent d’identifier des périodes d’activité atypiques sur lesquelles concentrer son analyse. L’analyse en composantes principales (ACP ou PCA en anglais) est une méthode statistique qui peut répondre relativement efficacement à cette problématique. L’article présente cette méthode et son apport dans la détection d’anomalies, en prenant comme exemple l’analyse de flux réseaux.

CVE-2020-3153 : élever ses privilèges grâce au télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Cet article explique comment développer un exploit pour la CVE-2020-3153, une élévation de privilèges à l’aide d’un « path traversal » dans le client Cisco AnyConnect pour Windows (avant la version 4.8.02042). Après une brève présentation de ce produit et de son fonctionnement, nous étudierons cette vulnérabilité et verrons comment elle peut être exploitée.

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.