当前位置: 首页 > 图文教程 > 数据库 > MSSQL > 修改SQL SERVER内置存储过程

MSSQL
如何让新安装的MySQL数据库变得更安全
考虑SQL Server安全时所应注意的几个方面
快速解决SQL server 2005孤立用户问题
比较一下看看自己掌握了多少SQL快捷键
怎样在SQL Server 2005中用证书加密数据
讲解使用SQL Server升级顾问的详细步骤
讲解设计应用程序时避免阻塞的八个准则
配置SQL Server文件组对应不同的RAID系统
讲解数据库管理系统必须提供的基本服务
讲解SQL Server2005数据项的分拆与合并
SQL Server数据库动态交叉表的参考示例
SQL SERVER 2005中的同步复制技术
SQL Server查询速度慢的原因及优化方法
减少SQL Server死锁的方法
sql server 视图作用
扩展数据库系统选项实现更高的可扩展性
SQL Server开发过程中的的常见问题总结
对跨多个表格的数据组合时需要用到的SQL
SQL Server 2005 FOR XML嵌套查询使用详解
另类解读SQL Server中的DateTime数据类型

MSSQL 中的 修改SQL SERVER内置存储过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 116 ::
收藏到网摘: n/a

    SQLSERVER估计是为了安装或者其它方面,它内置了一批危险的存储过程。能读到注册表信息,能写入注册表信息,能读磁盘共享信息等等……各位看到这儿,心里可能会在想,我的网站中有其它的代码,又不像查询分析器那样能直接将结果输出。给你这个权限,也不能怎么样,还是看不到信息。如果各位这样想就大错特错了。提示一下,如果攻击者有CREATE TABLE的权限,那么创建一个临时表,然后将信息INSERT到表中,然SELECT出来,接着跟数字进行比较,让SQL SERVER报错,那么结果就全出来了……所以我们要报着宁错杀,不放过的态度进行修补。
  
  先来列出危险的内置存储过程:
  
  xp_cmdshell
  
  xp_regaddmultistring
  
  xp_regdeletekey
  
  xp_regdeletevalue
  
  xp_regenumkeys
  
  xp_regenumvalues
  
  xp_regread
  
  xp_regremovemultistring
  
  xp_regwrite
  
  ActiveX自动脚本:
  
  sp_OACreate
  
  sp_OADestroy
  
  sp_OAMethod
  
  sp_OAGetProperty
  
  sp_OASetProperty
  
  sp_OAGetErrorInfo
  
  sp_OAStop
  
  以上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:
  
  sp_dropextendedproc 'xp_cmdshell'
  
  如果需要的话,再用
  
  sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
  
  进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用
  
  sp_helpextendedproc xp_cmdshel
  
  来查看xp_cmdshell使用的是哪个动态联接库。另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将xpsql70.dll文件进行改名,以防止获得SA的攻击者将它进行恢复。