РАЗРЕШЕНИЯ

Эрик смог получать конфиденциальные пароли базы данных, просматривая файлы в директории «/include». Без этих паролей выполнение его миссии было бы очень затруднено. Получение паролей к важной базе данных в файлах, которые может читать кто угодно, — это все, что ему было нужно для проникновения.

Очень важно для обеспечения безопасности избегать хранения незашифрованных паролей в файлах программ или других текстах. Должно быть принято строгое корпоративное правило, запрещающее хранение зашифрованных паролей без крайней необходимости. Во всяком случае, файлы, содержащие незашифрованные пароли, должны быть тщательно защищены, чтобы предотвратить проникновение в них.

В компании, которую атаковал Роберт, сервер Microsoft IIS4 не был сконфигурирован так, чтобы не позволять гостям читать и записывать файлы в директорию Интернет-сервера. Внешний файл паролей, используемый в сочетании с Microsoft Visual SourceSafe, может прочесть любой пользователь, который вошел в систему. Из-за этих неправильных конфигураций хакер может получить полный контроль над атакуемым доменом Windows. Развертывание систем с организованной структурой директорий для приложений и баз данных повышает эффективность управления доступом.

<< | >>
Источник: Кевин Митник, Вильям Саймон. Искусство вторжения. 2005

Еще по теме РАЗРЕШЕНИЯ:

  1. Разрешенные активы
  2. Разрешение конфликтов в антикризисном РR
  3. Порядок представления сведений органами, выдающими лицензии (разрешения)
  4. Разрешения на строительство новых домов
  5. Некоторые способы разрешения конфликтов
  6. Статья 51. Рассмотрение ходатайств о разрешении исполнения решений
  7. Статья 51. Рассмотрение ходатайств о разрешении исполнения решений
  8. Механизмы разрешения конфликтов
  9. 2. Отдел «разрешительный» (разрешение на торговлю, лицензии, рро, патенты)
  10. Побуждение к действию при разрешении конфликтов
  11. Разрешение конфликта
  12. Разрешенное использование
  13. За работу без лицензии, когда такое разрешение необходимо