security Archives - Seite 3 von 3

DISABLE und DENY LOGIN, DENY USER & Effekt auf Impersonierung und Berechtigungen

7. März 2014/in Security

Ein kurzer Artikel zu den Effekten – oder fehlenden Effekten – in Bezug auf das Deaktivieren & Verbieten von Connect für Logins und Users auf Impersonierung und Berechtigungen. Immer mal wieder kann man beobachten, dass Logins oder Usern die Connect-Berechtigung verboten bekommen wurde, oder ein Login deaktiviert wurde. Die richtige Erwartung und Verständnis kann daher […]

Schwachstellen in Zeilen-basierter Sicherheit

16. Januar 2014/in Security

Es ist Zeit für einen weiteren Artikel zum Thema Sicherheit. Und durch einen Forum Thread zu „Datengesteuerter Sicherheit“ mittels der IS_MEMBER(), USER_NAME(), SUSER_SNAME() – Funktionen kam ich auf die Idee, ein kurzes Beispiel zu zeigen, wie sich solche Konstrukte leicht umgehen lassen und die geschützten/verborgenen Daten offengelegt werden können, wenn sie nicht mit weiteren Mitteln […]

Sicherheitsprüfungs-Script & Umfrage: SQL Server Datenbankbesitzer, kritische Rechte und Rollenmitgliedschaft

27. Dezember 2013/in Scripts, Security, Surveys/Umfragen

In dieser Umfrage möchte ich einmal in einem größeren Kreis ermitteln, welche Accounts typischerweise als Datenbankbesitzer eingetragen werden. Die kumulierten Ergebnisse werde ich anschließend hier veröffentlichen um sie mit der Community zu teilen, zusammen mit einigen Empfehlungen hinsichtlich Sicherheits-Härtung. Dabei interessieren vor allem bestimmte serverweite Berechtigungen nicht nur des verwendeten Kontos selber, sondern auch, falls […]

Wo sind die Scripte zu dem Vortrag „SQL Attacked/Hacking SQL Server“ ? ;-)

27. November 2013/in Conferences, Security

Im Anschluss an die Vorträge aus meiner „Hacking SQL Server“-Reihe „SQL Server Sicherheit „SQL Attack..ed“ – Angriffszenarien auf SQL Server („SQL Server Hacken“)“, die ich bisher bereits auf den SQLSaturdays Rheinland, Istanbul, auf der SQLRally Amsterdam und in vielen Regionalgruppen der PASS Deutschland zeigte, kommt öfters die Frage auf, ob ich den gezeigten Code öffentlich […]

Sicherheits-Vortrag “SQL Server under Attack” diesen November @ SQL Rally Amsterdam

11. Oktober 2013/in Conferences, Security, SQLPASS

Ok, dieses Jahr wird das bei Weitem aktivste in Sachen Sprecher auf internationalen Konferenzen sein: Nach 6 Konferenzen letztes Jahr, inklusive SQL Rally Nordic, die mir sehr gefallen hat, musste ich mich entscheiden zwischen noch einmal SQL Rally Nordic, SQL Rally Amsterdam oder gar beiden.

CONTROL SERVER gegen Sysadmin/sa: Berechtigungen, Systemprozeduren, DBCC, automatische Schema-Erstellung und Privilegienausweitung – Fallstricke

1. August 2013/in Schemas, Security

Seit SQL Server 2005 gibt es die Serverweite Berechtigung CONTROL SERVER. Prinzipiell eine Alternative zur sysadmin-Mitgliedschaft, blieb sie dennoch nicht viel mehr als ein Ladenhüter – kaum bekannt und noch weniger verwendet. Einer der Hauptgründe dafür war die fehlende Möglichkeit, dieses Recht einer Gruppe von Prinzipalen/Logins auf Server-Ebene zu geben.

Vortrag SQL Server Sicherheit „SQL Attack..ed“ – Angriffsszenarien auf SQL Server („SQL Server Hacken“)

16. Juli 2013/in Conferences, Schemas, Security, Seminare, SQLPASS

Auf dem diesjährigen SQLSaturday in Deutschland habe ich wieder einmal einen meiner Sicherheitsvorträge gehalten, in denen ich mich auf „Angriff“ konzentriere. Für mich eine gute Gelegenheit, mich wieder einmal intensiv mit SQL Server Sicherheit und einigen Penetrationstest-Tools auseinanderzusetzen, und SQL Server auf Fallstricke in Sachen Sicherheitskonfiguration zu untersuchen.

Konferenzen 2013: Frankfurter Datenbanktage und einige “Oracle-Momente”

13. April 2013/in Conferences, Locking & Blocking, Oracle, Security, SQLPASS

Normalerweise versuche ich ja, meine Konferenz-Teilnahmen vorab bekanntzugeben, um dem Leser auch eine Chance zu geben, diese eventuell einzuplanen. Aufgrund akutem Zeitmangel, und auch dem Umstand geschuldet, dass ich erst eine Woche vor der Konferenz spontan für einen ausgefallenen Sprecher eingesprungen bin, ist mir das diesmal nicht gelungen. Ich hatte das Vergnügen, einen Vortrag über […]

Sessions auf der SQLCon 2011

15. Mai 2011/in Conferences, Reporting Services, Security

Auch dieses Jahr bin ich wieder mit bis dato zwei Sessions auf der SQLCon 2011 – 26. – 29. September in Mainz vertreten. Update (09/2011): Den Vortrag “Reporting Services in SQL Server Denali” habe ich zugunsten eines mir noch mehr am Herzen liegenden Themas gestrichen. (Außerdem werden die Reporting Services selber kaum viele Neuerungen in […]

Sicherheitsproblem: Gast-Gast-Identitätswechsel

24. September 2009/in Conferences, Security

Vor beinahe einem Jahr entdeckte ich ein Problem mit SQL Server (alle Versionen von 2005-2008 R2, 2000 habe ich nicht getestet) in Bezug auf die Nutzung des Gastkontos und Identitätswechsel. Das wurde auch von Ralf Dietrich und mir auf dem SQL Server PASS Summit 2009 in Seattle präsentiert, wo wir Microsoft darüber informierten. – Danke […]

Beiträge

DISABLE und DENY LOGIN, DENY USER & Effekt auf Impersonierung und Berechtigungen

Schwachstellen in Zeilen-basierter Sicherheit

Sicherheitsprüfungs-Script & Umfrage: SQL Server Datenbankbesitzer, kritische Rechte und Rollenmitgliedschaft

Wo sind die Scripte zu dem Vortrag „SQL Attacked/Hacking SQL Server“ ? ;-)

Sicherheits-Vortrag “SQL Server under Attack” diesen November @ SQL Rally Amsterdam

CONTROL SERVER gegen Sysadmin/sa: Berechtigungen, Systemprozeduren, DBCC, automatische Schema-Erstellung und Privilegienausweitung – Fallstricke

Vortrag SQL Server Sicherheit „SQL Attack..ed“ – Angriffsszenarien auf SQL Server („SQL Server Hacken“)

Konferenzen 2013: Frankfurter Datenbanktage und einige “Oracle-Momente”

Sessions auf der SQLCon 2011

Sicherheitsproblem: Gast-Gast-Identitätswechsel

Impressum

RSS Feed für Blog-Artikel

Kontakt