Добавил:

ivanov666 Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Национальный исследовательский ядерный университет (МИФИ)

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Горбатов Аттестационные испытания автоматизированных систем от 2014

.pdf

Скачиваний:

Добавлен:

12.11.2022

Размер:

12.47 Mб

Скачать

☆

<<< < Предыдущая 4 5 6 7 8 9 10 11 12 13 14 1516 / 5616 17 18 19 20 21 22 23 24 25 26 27 28 > Следующая >>>

5. Выявление прав пользователей (user rights) в базе данных

Администратору безопасности полезно иметь общую сводку прав отдельных или даже всех пользователей базы данных. Права включают прямые системные и объектные привилегии, эти же привилегии, но даваемые пользователям через роли, наконец, роли, назначенные пользователям.

Для получения такой информации в AppDetectivePro предусмотрена утилита UserRights (запуск ее показан рис. 6.40).

Рис. 6.40. Запуск утилиты UserRights

Для запуска утилиты предлагается окно выбора сервера (рис. 6.41).

Рис. 6.41. Окно выбора сервера

151

Затем необходимо в появившемся окне процесса проверки прав пользователей (рис. 6.42) нажать мышкой на строку

(Username=)(Password=).

Рис. 6.42. Окно процесса проверки прав пользователей со строкой (Username=)(Password=)

После нажатия на строку «(Username=)(Password=)» появляется окно для ввода имени пользователя, пароля и типа пользователя

(рис. 6.43).

Рис. 6.43. Окно для аутентификации пользователя

Для проверки соединения справа вверху (см. рис. 6.43) надо нажать кнопку «Test DB Connect». После чего надо получить подтверждение успешной аутентификации (рис. 6.44).

152

Рис. 6.44. Экран подтверждения аутентификации

После проверки аккаунтов анализируемого пользователя надо нажать две разные кнопки «OK» и выйти к готовому к запуску окну процесса проверки прав пользователя (рис. 6.45).

Рис. 6.45. Окно процесса проверки прав пользователя (SYS), готового к запуску

На рис. 6.46 показано промежуточное состояние процесса проверки прав пользователя SYS. В ходе работы в этом окне показывается число учтенных объектов пользователя и общее число этих объектов (таблиц, представлений, процедур и т.д.).

153

Рис. 6.46. Промежуточное состояние процесса проверки прав пользователя (SYS)

В ходе работы утилиты User Rights процесс проверки сопровождается появлением окон проверки объектов выбранного пользователя (см. рис. 6.46), всех столбцов (таблиц и представлений) этого пользователя (рис. 6.47), объектных привилегий пользователя (рис. 6.48), ролей (и входящих в них привилегий), принадлежащих данному пользователю (рис. 6.49).

Рис. 6.47. Проверка прав пользователя SYS по работе со столбцами таблиц и представлений

154

Рис. 6.48. Проверка объектных привилегий пользователя SYS

Рис. 6.49. Проверка ролей пользователя SYS

Результат работы утилиты UserRights можно просмотреть в от-

четах AppDetectivePro.

6. Формированиеотчетовпорезультатамвыявления уязвимостейбазы данных посредством AppDetectivePro

Работа с утилитой «Report» начинается с нажатия на кнопку

«Report» в главном меню AppDetectivePro (рис. 6.50). На рисунке видна возможность выбора в формировании отчета отдельно для

Audit и PenTest, отдельно для проверки UserRights.

155

Рис. 6.50. Запуск утилиты формирования отчетов в AppDetectivePro

156

Ниже на рис. 6.51–6.55 показаны окна, предъявляемые пользователю при формировании отчета для выполненных Audit и PenTest.

Рис. 6.51. Выбор варианта отчета

Рис. 6.52. Выбор типа отчета

157

Рис. 6.53. Выбор формы отчета

Рис. 6.54. Проверка параметров формируемого отчета перед его выполнением

158

Рис. 6.55. Небольшой фрагмент итогового отчета с выявленными уязвимостями на основании выполнения Audit и PenTest

На рис. 6.56 и 6.57 показаны возможные варианты выбора отчета, формируемого по результатам выполнения утилиты UserRights. В отличие от работы утилит Audit и PenTes, результаты которых видны сразу же после выполнения, результаты работы утилиты UserRights можно увидеть только здесь, при формировании отчетов.

Рис. 6.56. Выбор варианта отчета по привилегиям пользователей в базе данных

159

Рис. 6.57. Определение пользователя, отчет по которому на основании работы утилиты UserRights выдаст утилита Report

Сдача лабораторной работы

Сдача лабораторной работы заключается в следующем:

1.Демонстрация преподавателю на учебном стенде настроек сканера безопасности баз данных AppDetectivePro.

2.Демонстрация преподавателю отлавливания сканером безопасности AppDetectivePro специально введенных преподавателем уязвимостей пароля пользователей.

Примеры таких уязвимостей:

а) имя пользователя совпадает с его паролем;

б) пароль пользователя представлен простым словом (‘world’, ‘welcome’, 'database', 'account', 'user', 'password', 'oracle', 'computer', 'abcd');

в) пароль пользователей SYS, SYSTEM не менялся после установки СУБД Oracle.

3.Ответы на вопросы преподавателя по отчету, сформированному сканером безопасности AppDetectivePro при выявлении уязвимостей учебной базы данных.

160

<<< < Предыдущая 4 5 6 7 8 9 10 11 12 13 14 1516 / 5616 17 18 19 20 21 22 23 24 25 26 27 28 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
12.11.2022432.63 Кб0Гвоздева Тхе Цосмос 2011.pdf
#
12.11.2022462.54 Кб0Гвоздева Цомпутер сциенце 2011.pdf
#
12.11.20225.4 Mб21Гинодман От первых вирусов до целевых атак 2014.pdf
#
12.11.20223.87 Mб28Гляненко Современная електронная елементная база в приборах 2012.pdf
#
12.11.20227.09 Mб35Голцев Методы механических испытаний и механические 2012.pdf
#
12.11.202212.47 Mб76Горбатов Аттестационные испытания автоматизированных систем от 2014.pdf
#
12.11.202213.73 Mб35Гордон Безопасност ядерныкх обектов 2014.pdf
#
12.11.20226.35 Mб24Горокхов Основы културологии 2015.pdf
#
12.11.20221.22 Mб14Грехов Исследование оптичес 2014.pdf
#
12.11.20223.28 Mб18Григорев Газоразрядные детекторы елементарных частиц 2012.pdf
#
12.11.20225.8 Mб9Гурбич Лабораторныы практикум по курсу Обшчая физика раздел Електричество 2014.pdf