СКБД

Вразливі місця Microsoft SQL Server

При аналізі та пошуку вразливих місць у програмах використовується кілька підходів. В даному випадку я наведу найпростіший. Схема роботи буде проста як двері. Компанія Rational створила програму Purify для динамічного дослідження програмного забезпечення. Ось її і будемо використовувати. За допомогою програми Hailstorm запускаємо процес внесення помилок у SQL Server 7 і за допомогою Purify будемо відслідковувати стан програми. Враховуючи, що у даному СУБД більше помилок, ніж стрічок з програмним кодом, використаємо хоча б одну з них. Наприклад, при внесенні некоректних даних в пакет протоколу SQL Server виникає проблема затирання даних в пам’яті. Збій проходить в результаті неправильної обробки даних. SQL сервер приймає запити по 1443 порту. Для цього порту жодних специфікацій не існує. Направимо на цей порт випадкові дані( нехай це будуть згенеровані цифри) з інтенсивністю 20 пакетів в секунду. SQL Server буде сприймати ці пакети без жодних проблем. Вхідні дані обробляються різними фрагментами коду. Фактично ці фрагменти виконують читання заголовків протоколу. Через деякий час Purify вкаже на виникнення помилки і на зміну даних у пам’яті. Такого роду помилка призводить до відмови в роботі сервера. І як результат нашої роботи ми отримаємо звіт програми Heilstorm, а програма Purify вкаже на точне місце в програмному коді, де міститься помилка. Як використовувати цю помилку вже залежить не від мене. Якби мені довелось б піти іншим шляхом ( наприклад, вводяться в програму дані і досліджується фрагмент коду, що відповідає за обробку цих даних) напевне це зайняло б у мене кілька днів. Наведений метод є ефективний хіба для продуктів мікрософту, де помилка помилку поганяє. Для нормального програмного забезпечення існують складніші методи та підходи до взламування.

Нова версія PostgreSQL

Нещодавно вийшла у світ нова версія СКБД PostgreSQL - 8.0 (www.postgresql.org)

Особливістю версії є повна підтримка Windows-NT платформ - Win2000, XP, Win2003 (Win-95,98,ME не підтримуються). Попередні версії PostgreSQL повноцінно працювали на платформах UNIX/Linux, а у Windows-системах лише в режимі емуляції Cygwin для UNIX.

PostgreSQL - повністю безкоштовна система керування базами даних, яка підтримує загально поширені стандарти SQL. Мовою програмування процедур та функцій виступає варіант PL/SQL - PGPL/SQL.

PostgreSQL може сильно конкурувати з MS SQL-Server в якості сервера бази даних для корпоративних систем.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа