2012年9月1日 星期六

面對SQL Injection,DBA可以做甚麼呢!

        難得公司請廠商做滲透測試,模擬駭客攻擊,我很好奇廠商會怎麼測試,所以同時間我也監控網站與資料庫的LOG,看看能從LOG裡讓我學到甚麼,當然最基本的SQL Injection與XSS一定會測試,身為DBA我當然最在意SQL Injection囉,而針對SQL Injection,我原本就做了以下前三項的設定
  1. 應用程式帳號權限最小化
  2. 限制中繼資料的可見性
  3. 稽核軌跡 
  4. 資料表(行)命名的考量