`
lvjun106
  • 浏览: 436892 次
  • 性别: Icon_minigender_1
  • 来自: 芜湖
社区版块
存档分类
最新评论

防止开发人员开发后门程序,数据库安全之应用程序调用的危险

 
阅读更多

 

数据库安全本身是一个比较大的概念,其中包括数据独立性、数据安全性、数据完整性、并发控制和故障恢复等。这里我想讨论一下数据的安全性和应用程序对数据库调用的安全验证。

对于数据安全性,

一般采取隔离法则,即把重要的数据隔离出来。这种方法比较常用,操作性也强。

二是采用授权机制,通过数据库供应商的安全机制保护数据。通用的方法,不解释。

三是对数据进行加密后再存储于数据库。但这样对应用程序调用有影响,而且对于ORACLE这种供应商,一旦对数据进行加密,一些功能就不支持。所以这种方法适用于对应用程序调用要求不高,但数据安全性高的情况。

 

对于应用程序访问数据库的安全检验,是本文着重讨论的话题。先看一下常用的应用程序架构。




 
 

这种架构的好处就是避免了应用程序直接对关键数据进行操作,中间层用来进行系统认证、IP认证、授权认证。而真实数据库则是完全对外透明,应用程序服务AB并不知道其地址、用户名和密码。中间层也不会对外开放,通过JMS消息机制传输数据,可以保证数据的安全和完整。

l  系统认证:对于图中,只有应用服务器AB才能对数据库进行修改的操作。

l  IP认证:对于外网IP,非授权的IP进行过滤

l  授权认证:设定安全策略,例如,应用服务器AB只能对授权了的数据进行操作,B不能访问A能访问的数据,A也不能操作B访问的数据。

 

这种架构可以防止大部分的非法入侵,除非你攻破了企业内网,并非法获取了数据库的用户名密码,否则这种方式是比较安全的。

但这种架构还是有问题,如果应用服务器中的应用程序留有后门程序,即应用程序开发人员有意或无意地创建了一些不用登陆便能使用程序资源的程序。无意地即在开发过程中,为了调试方便而开放了一些页面,可以查看数据库的内容,但程序实际运行中并未删除;有意地即刻意保留后门,供日后非法入侵所用。对于这种现象,我设计了一个中间层来保护数据的调用。如下图




 
 

但这种方法还是防范不了后门程序内嵌入已有程序里。比如说在一个页面里有一个隐藏按钮,此按钮可在页面通过程序显示出来,之后再调用这个按钮,让其去后台抓取资料。

像这样的情况就需要软件开发中的代码检查,即代码安全性检查,做到每个人提交的代码都需要相关人员进行审查,要有完整的代码跟踪记录。

 

  • 大小: 31.3 KB
  • 大小: 17.7 KB
分享到:
评论

相关推荐

    数据库安全设计方面的一些知识

    数据库安全设计是数据库系统的重中之重,需要考虑多个方面,包括物理层面的安全措施、人员层面的安全措施、操作系统层面的安全措施、网络层面的安全措施、数据库系统层面的安全措施等。数据库安全设计需要考虑数据库...

    隐藏型后门程序设计

    后门程序设计是一种在软件或系统中创建隐蔽通道的技术,使得未经授权的用户或者开发者能够绕过常规的安全机制,获得对系统的非法访问权限。这种技术在合法的用途中可以帮助进行远程维护和故障排查,但同时也被恶意...

    SQL server数据库安全措施解析与应用.pdf

    访问控制是数据库安全的核心技术之一,它涉及到控制用户访问数据库对象(如表、视图、目录、应用等)的权限。这些权限包括创建、撤销、查询、增加、删除、修改、执行等。访问控制通常通过用户分类和数据分类来实现,...

    nfine去后门版和数据库说明

    【标题】"nfine去后门版和数据库说明"涉及的是关于nfine系统的一个特定版本,这个版本的主要特点是已经去除了潜在的后门程序,旨在提高软件的安全性和可靠性。在IT行业中,"后门"通常指的是开发者有意或无意留下的...

    作真正属于自己的后门程序

    1 如何使非常规后门变成exe后门,方便我们使用,这里我们用来演示的后门程序是黑客之门1.0版本。 2 如何修改后门程序躲过杀毒软件(这里拿比较强悍的avp-来自俄罗斯的卡巴斯基 作为例子),这里使用的是修改特征码的...

    快速开发NFine框架(去后门版本)

    NFine框架是一款高效、便捷的Web应用程序开发框架,特别适合快速构建企业级应用。这个"快速开发NFine框架(去后门版本)"是经过优化,去除了潜在的安全隐患,为开发者提供了一个更加安全可靠的开发环境。它强调的是...

    C#实现后门程序的实例

    在IT安全领域,"后门程序"通常被视为恶意软件,用于绕过系统安全措施,未经授权地获取或控制目标系统的访问权限。然而,这里我们将探讨的是从编程角度理解后门程序的工作原理,以及如何使用C#语言来实现这样一个程序...

    DELPHI编写的后门远程控制程序

    DELPHI编写的后门远程控制程序是一种利用DELPHI编程语言开发的恶意软件,它设计用于未经授权的情况下,实现对目标计算机系统的远程监控和控制。这类程序通常被称为“后门”或“特洛伊木马”,因为它们表面上可能看似...

    DLL后门技术,开发DLL后门的文档

    这些API函数是由DLL文件导出的,供其他应用程序调用。 #### 二、DLL后门技术概述 DLL后门技术是指将恶意代码封装在DLL文件中,并通过某种方式将其加载到合法应用程序中的一种隐蔽手段。这种方式可以实现恶意代码的...

    PHP实例开发源码——PhpSpy 2008 WEB后门程序.zip

    【PHP实例开发源码——PhpSpy 2008 WEB后门程序】 PHP是一种广泛使用的开源脚本语言,尤其在Web开发...记住,安全是Web开发中的重要一环,对后门程序的了解有助于我们在编写代码时更加警惕,避免成为潜在的攻击目标。

    后门 程序深入分析 教程 下载

    后门程序 深入分析 防范教程 ,更好的掌握和防范后门程序

    后门程序制作示例+源码

    程序后门制作程序后门制作程序后门制作程序后门制作

    php万能后门程序

    2. **安全编程**:遵循最佳实践,如限制文件上传类型,避免使用危险的函数(如`eval()`)。 3. **更新和补丁**:及时更新PHP版本和所有依赖库,应用安全补丁。 4. **防火墙和入侵检测系统**:配置防火墙规则,使用...

    Linux下查找后门程序 CentOS 查后门程序的shell脚本

    ### Linux下查找后门程序的方法及Shell脚本详解 #### 一、背景介绍 随着网络安全威胁的日益增多,Linux系统作为服务器领域的主流操作系统之一,其安全性尤为重要。后门程序是黑客为了保持对受害主机的长期控制,而...

    基于PHP的Spy2022WEB后门程序源码.zip

    在IT安全领域,理解和识别这些后门至关重要,以防止潜在的安全威胁。 描述中同样提到了“基于PHP的Spy2022WEB后门程序”,这表明源码是用PHP编程语言编写的,并且是专门设计用于Web环境的。PHP是一种广泛使用的开源...

    android后门程序

    在Android系统中,后门程序通常是指未经用户许可,秘密收集用户数据并将其发送到远程服务器的应用或服务。这类程序可能会严重侵犯用户的隐私,因为它们能够获取敏感信息,如短信记录、通讯录以及GPS定位信息。 一、...

    系统后门服务的应用 网络安全

    系统后门服务的应用 网络安全 在计算机网络安全中,系统后门服务是一个非常重要的知识点。系统后门服务是指黑客在入侵目标计算机后,创建的可以隐藏其踪迹的服务,以便在未来继续控制目标计算机。今天,我们将学习...

    五次SHIFT后门程序

    总的来说,了解并防范五次SHIFT后门程序需要我们对网络安全保持警惕,增强自我保护意识,并采取有效措施防止此类威胁。同时,对压缩包内的文件进行深入研究,可以帮助我们更好地理解这种恶意软件的运作机制,从而...

    浅谈应用程序从SQL Server向神通数据库的移植.pdf

    应用程序从SQL Server向国产神通数据库移植的过程涉及多个知识点,包括数据库基础知识、ODBC接口、数据处理等。下面将详细阐述这些知识点: 1. 数据库基础 数据库是存储、管理、处理和检索数据的系统。在数据库系统...

Global site tag (gtag.js) - Google Analytics