Scavalcare l’autenticazione di MS SQL Server

Come altri articoli riguardanti la sicurezza informatica, anche questo può essere interpretato sia come documentazione di un fatto sia come spiegazione di come si può agire in maniera illegale.

Ovviamente l’intento non è di promuovere o incitare alcun comportamento contro la legge, ma di avvertire gli amministratori di sistema di un comportamento del software che hanno installato sulle loro macchine.

Un secondo e, forse, più comune utilizzo di questa procedura è accedere ai propri dati registrati da un applicativo i cui gestori o installatori non sono più disponibili o che rifiutano di dare accesso ai dati di proprietà dell’utente.

Come molti database, anche Microsoft SQL Server ha un sistema per bypassare la sicurezza inegrata.

Leggi tutto “Scavalcare l’autenticazione di MS SQL Server”

La sicurezza dei database è in mano agli sviluppatori

Agli sviluppatori delle applicazioni che usano i database, ovviamente.

Dark Reading raccoglie in un articolo un decalogo di consigli per gli sviluppatori che vogliono mitigare i problemi di sicurezza delle applicazioni che utilizzano database (tipicamente SQL, ma non necessariamente).

Alcune norme sono ovvie e ne abbiamo parlato anche noi: la prima in assoluto è la SQL injection, molto più diffusa di quello che si possa credere. Basta, infatti, che un solo campo di un’intera applicazione non venga opportunamente sanificato per mettere a repentaglio la sicurezza dell’intero progetto.

Leggi tutto “La sicurezza dei database è in mano agli sviluppatori”