DATABASE SECURITY
MYSQL SECURITY
Bài Lap số 3 môn học Xây Dựng Chuẩn Chính Sách Cho Doanh Nghiệp
Giáo viên hướng dẫn: Nguyễn Duy
Sinh viên thực hiện:
08520260 – Nguyễn Thọ Nguyên
08520386 – Phạm Minh Thịnh
08520047 – Trịnh Xuân Công
4/2012ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Nội dung
Trang 2
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Lời mở đầu:
Thông tin luôn là một tài sản vô giá của doanh nghiệp và cần được bảo vệ bằng mọi giá. Tuy nhiên, với
những đòi hỏi ngày càng ngắt gao của môi trường kinh doanh yêu cầu doanh nghiệp phải năng động chia
sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet (mạng “Internet” trong
nội bộ doanh nghiệp), việc bảo vệ thông tin trở nên ngày càng quan trọng và khó khăn hơn bao giờ hết.
Hầu hết các doanh nghiệp ngày nay đều sử dụng các hệ quản trị cơ sở dữ liệu (CSDL) để lưu trữ tập
trung tất cả các thông tin quý giá của mình. Hiển nhiên hệ thống này sẽ là tiêu điểm tấn công của những
kẻ xấu. Ở mức độ nhẹ, các tấn công sẽ làm hệ thống CSDL bị hỏng hóc, hoạt động không ổn định, mất
mát dữ liệu làm cho các giao dịch hàng ngày của doanh nghiệp bị đình trệ. Nghiêm trọng hơn, các thông
tin sống còn của doanh nghiệp bị tiết lộ (như chiến lược kinh doanh, các thông tin về khách hàng, nhà
cung cấp, tài chánh, mức lương nhân viên,…) và được đem bán cho các doanh nghiệp đối thủ. Có thể nói
là thiệt hại của việc thông tin bị rò rỉ là vô cùng kinh khủng. Đó sẽ là một đòn chí mạng đối với uy tín của
doanh nghiệp đối với khách hàng và các đối tác.
Nội dung chính trong bài viết này là phân tích các rủi ro có thể gây nguy hại cho cơ sở dữ liệu, đồng thời
đưa ra những phương án, khuyến nghị giúp cho việc bảo vệ cơ sở dữ liệu. Bài viết lấy hệ quản trị cơ sở
dữ liệu MYSQL làm ví dụ. Tuy nhiên, các hệ quản trị cơ sở dữ liệu khác cũng có những phương án tương
tự.
công nghệ khác sử dụng chuyển port SSH để tạo ra một kênh mã hóa ( và nén ) cho đường
truyền.
Tìm hiều về tiện ích tcpdump và strings. Trong hầu hết các trường hợp, bạn có thể kiểm tra
dữ liệu của mình đã được mã hóa hay chưa bằng cách sử dụng lệnh như sau:
shell> tcpdump -l -i eth0 -w - src or dst port 3306 | strings
Câu lệnh trên hoạt động trên Linux và với một số chỉnh sửa để chạy trên những hệ điều
hành khác.
2. Bảo mật password trong MYSQL
• Bảo mật password cho các tài khoản quản trị
Những tài khoản quản trị có thể làm theo những hướng dẫn sau để giữ cho password được
an toàn:
Trang 4
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
MYSQL lưu trữ tất cả các tài khoản trong bảng user. Không gán quyền truy cập vào bảng
này cho tất cả các tài khoản không phải là tài khoản quản trị.
Một người dùng được phép truy cập và chỉnh sửa thư mục plugin ( các giá trị biến hệ
thống của plugin_dir) hoặc tập tin my.cnf có thể thay thế, bổ sung và chỉnh sửa các
plugin.
Password có thể xuất hiện ở dạng văn bản gốc (plaintext) trong các câu lệnh SQL như
CREATE USER, GRANT, and SET PASSWORD hay những câu lệnh được gọi như
PASSWORD(). Nếu những câu lệnh này được lưu lại bởi máy chủ MYSQL, password có
thể bị lộ cho những ai có quyền xem những lược sử này. Điều này được áp dụng cho
những lược sử truy vấn chung, lược sử truy vấn chậm và lược sử truy vấn nhị phân
( xem mục 5.2, “MySQL Server Logs” – MYSQL Manual). Để ngăn chặn những sự tiếp xúc
không nên có tới các tập tin lược sử, chúng nên được lưu trữ ở những thu mục chỉ có
quyền truy cập bởi server và những tài khoản quản trị.
Những bản backup cơ sở dữ liệu có chứa những bảng hoặc tập lược sử ghi này phải
được lưu trữ cẩn thận.
• Bảo vệ password cho người dùng
ai, ngoài trừ bạn. Để chắc chắn, đặt quyền của tập tin là 400 hoặc 600.
shell> chmod 600 .my.cnf
Để sử dụng lệnh để xác định chính xác tập tin tùy chọn lưu trữ password, sử dụng tùy
chọn defaults-file=file_name, với file_name là đường dẫn đầy đủ của tập tin. Ví dụ:
shell> mysql defaults-file=/home/francis/mysql-opts
Lưu trữ password của bạn trong biến môi trường MYSQL_PWD.
Phương thức này xác định mật khẩu của bạn được coi là cực kỳ không an toàn và không
nên được sử dụng. Mật khẩu của bạn sẽ bị lộ nếu một người nào đó có thể kiểm tra môi
trường của các tiến trình đang chạy.
• Chuỗi băm password trong MYSQL
Danh sách tài khoản người dùng MYSQL được lưu trữ trong bảng user của cơ sở dữ liệu
mysql. Mỗi tài khoản được ấn định một password. Nó được lưu trữ ở cột Password của bảng
user, nhưng không phải ở dạng plaintext mà là ở dạng chuỗi băm của nó. Giá trị chuỗi băm
được tính toán bởi hàm PASSWORD().
Mysql sử dụng password trong 2 pha của kết nối client/server.
Khi client cố gắng kết nối tới server, có một bước xác thực mà khách hàng phải trình
bày một mật khẩu mà có một giá trị băm phù hợp với giá trị hash được lưu trữ trong
bảng người dùng cho tài khoản mà khách hàng muốn sử dụng.
Sau khi khách hàng kết nối, nó có thể (nếu nó có đủ đặc quyền) thiết lập hoặc thay
đổi các hash mật khẩu cho các tài khoản được liệt kê trong bảng người dùng. Các
khách hàng có thể làm điều này bằng cách sử dụng hàm PASSWORD() để tạo ra một
hash mật khẩu, hoặc bằng cách sử dụng lệnh GRANT hay SET PASSWORD.
Ví dụ: đặt password cho một tài khoản nào đó bằng lệnh SET PASSWORD FOR như
sau:
Phương thức PASSWORD sẽ tự tạo ra giá trị băm cho chuỗi ‘nguyen’ và lưu vào
bảng user. Ta có thể kiểm tra lại như sau:
Trang 6
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Với phiên bản MYSQL 4.1.1 trở về trước, chuỗi băm password chỉ có 16 kí tự. Với
Nếu bạn không tin tưởng vào DNS, bạn nên sử dụng địa chỉ IP thay cho hostname trong
bảng phân quyền grant table.
Nếu bạn muốn hạn chế số lượng kết nối cho phép từ một tài khoản, bạn có thể làm được
điều đó bằng cách đặt giá trị max_user_connections trong mysqld.
4. Bảo mật với mysqld
Bảng tóm lược các tùy chọn và giá trị:
Trang 7
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Name CMD-Line Option-File System var Status
Var
Var
Scope
Dynamic
Trang 8
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
allow-suspicious-udfs Yes Yes
automatic_sp_privilege
s
Yes Global Yes
chroot Yes Yes
des-key-file Yes Yes
local-infile Yes Yes Global Yes
- Variable: local_infile Yes Global Yes
old-passwords Yes Both Yes
- Variable:
old_passwords
Yes Both Yes
safe-show-database Yes Yes Yes Global Yes
cấp quyền như sau:
GRANT INSERT(user) ON mysql.user TO 'user_name'@'host_name';
Trang 9
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Điều này đảm bảo rằng người dùng không thể thay đổi bất kỳ đặc quyền cho cột nào, nhưng
có thể sử dụng câu GRANT để cấp quyền cho người sử dụng khác.
• secure-auth: tắt chức năng xác thực cho những user sử dụng password kiểu cũ.
• secure-file-priv=path: tùy chọn này sẽ giới hạn hiệu lực của hàm LOAD_FILE() và lệnh LOAD
DATA và SELECT INTO OUTFILE để làm việc với những thư mục được chỉ định. Tùy chọn
này được thêm vào từ phiên bản MySQL 5.1.17.
• skip-grant-tables: tùy chọn này làm cho server khởi động mà không sử dụng quyền hệ
thống, làm cho bất kì ai đăng nhập vào server cũng không giới hạn quyền truy cập vào
database. Bạn có thể làm cho một server đang chạy nạp lại bảng GRANT bằng cách dùng
lệnh mysqladmin flush-privileges hay mysqladmin reload từ shell system
tùy chọn skip-grant-tables không hoạt động nếu MySQL được cấu hình với disable-grant-
options
• skip-merge: tắt chức năng lưu trữ trộn. Tùy chọn này được thêm vào từ MySQL 5.1.12 và
được gỡ bỏ từ 5.1.14
• skip-name-resolve: không sử dụng hostname. Tất cả các giá trị trong cột Host sẽ được lưu
ở dạng IP hoặc localhost.
• skip-networking: Không cho phép kết nối TCP / IP qua mạng. Tất cả các kết nối đến mysqld
phải được thực bằng tập tin socket Unix.
• skip-show-database: với tùy chọn này, lệnh SHOW DATABASES chỉ được cho phép đối với
những tài khoản có quyền SHOW DATABASES, và câu lệnh sẽ hiển thị tên tất cả các
database. Nếu không có tùy chọn này, lệnh SHOW DATABASE sẽ được cho phép với tất cả
các user, nhưng chỉ hiện tên những database mà user này có đặc quyền.
• ssl: tùy chọn này cho phép các máy client kết nối tới server sử dụng giao thức SSL, và chỉ rõ
nơi nào để tìm khóa và chứng thư cho SSL. Thông tin chi tiết sẽ được mô tả trong phần 3.
5. Bảo mật với LOAD_DATA_LOCAL
lỗ hổng bảo mật lớn và mất mát dữ liệu có thể xảy ra nếu một hacker sử dụng công nghệ tương
tự - thường gọi là SQL Injection.
Một sai lầm phổ biến là chỉ kiểm tra kiểu dữ liệu chuỗi. Hãy nhớ là luôn kiểm tra kiểu dữ liệu số.
nếu một chương trình tạo một truy vấn như là “SELECT * FROM table WHERE ID=234 ”, thay vì
người dùng nhập “234” thì họ nhập “234 OR 1=1”. Kết quả là chương trình tạo ra chuỗi truy vấn
“SELECT * FROM table WHERE ID=234 OR 1=1” và server sẽ trả về tất cả các dòng trong bảng.
Cách đơn giản nhất để bảo vệ khỏi kiểu tấn công này là sử dụng một dấu nháy cho hằng số như
“SELECT * FROM table WHERE ID=’234’”. Nếu người dùng nhập bất kì thông tin gì, nó đều được
chuyển thành chuỗi kí tự. Nếu nội dung là số, MYSQL sẽ tự động chuyển tất cả chuỗi này thành
số và cắt bỏ hết những kí tự trong đó.
Một vài người nghĩ rằng nếu một cơ sở dữ liệu chỉ chứa những thông tin công cộng thì không
cần phải bảo vệ nó. Điều đó là sai lầm. Mặc dù nó cho phép hiển thị tất cả các dòng, nhưng bạn
vẫn phải bảo vệ nó khỏi kiểu tấn công từ chối dịch vụ.
Kiểm tra:
Kích hoạt chế độ nghiêm ngặt của SQL để bảo cho máy chủ hạn chế những giá trị dữ liệu
có thể chấp nhận.
Thử thêm dấu nháy đơn và nháy kép (' và “) vào tất cả các Web form. Nếu có xuất hiện
bất kì lỗi SQL nào thì có vấn đề rồi đó.
Thử chỉnh sửa lại URL bằng cách thêm vào %22 (“"”), %23 (“#”), và %27 (“'”).
Thử sửa lại kiểu dữ liệu của những URL động từ số sang những kí tự như trong ví dụ
trên. Ứng dụng của bạn phải được an toàn chống lại những cuộc tấn công tương tự.
Thử thêm vào những kí tự, khoảng cách, kí tự đặc biệt thay cho số vào những trường số.
Ứng dụng của bạn phải lọc hết những kí tự này ra trước khi gởi tới cho server Mysql nếu
không sẽ gây ra lỗi. Gửi những dữ liệu chưa được kiểm tra tới MYSQL là rất nguy hiểm.
Kiểm tra dung lượng của ổ cứng trước khi gửi tới Mysql.
Trang 11
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Không cho ứng dụng của bạn kết nối tới database mà sử dụng tài khoản administrator.
Không cho ứng dụng bất kì quyền nào mà nó không cần.
SHOW GRANTS FOR 'joe'@'home.example.com';
Mysql điều khiển truy cập bằng bao gồm 2 giai đoạn khi bạn chạy một chương trình client để kết
nối tới server:
Trang 12
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Bước 1: server chấp nhận hoặc từ chối kết nối dựa trên nhận dạng của bạn khi bạn xác minh
bằng một mật khẩu chính xác.
Bước 2: giả sử rằng bạn đã kết nối thành công, mysql sẽ kiểm tra từng câu lệnh bạn sử dụng để
xác định xem bạn có đủ quyền lực để thi hành nó hay không.
1. Hệ thống đặc quyền cung cấp bởi MYSQL
MYSQL cung cấp những đặc quyền được áp dụng bởi nhiều nội dung và nhiều mức độ của hành
động:
• Quyền administrator có thể cho user quản lí những hoạt động trên Mysql Server. Những
quyền này quyền toàn cục vì nó không đặc trưng cho một cơ sở dữ liệu nào cả.
• Đặc quyền database được áp cho một database và tất cả các đối tượng trong nó. Những
quyền này có thể được áp cho một database cụ thể hay là toàn cục nghĩa là được áp cho
mọi database.
• Quyền cho những đối tượng như là các table, ndexes, views, và stored routines có thể
được gán cho những đối tượng cụ thể trong database, cho tất cả các đối tượng cùng loại
trong database ( ví dụ: tất cả các tables trong database), hay trong cục bộ với các đối
tượng cùng loại trong tất cả các databases.
Thông tin về các quyền của tài khoản được lưu trữ trong bảng user, db, host, tables_priv,
columns_priv, and procs_priv trong cơ sở dữ liệu mysql (xem thêm phần “Bảng đặc quyền
GRANT”). Mysql đọc nội dung của những bảng đó lên bộ nhớ khi nó bắt đầu và nạp lại trong các
trường hợp được nêu trong “6. Tác dụng khi thay đổi đặc quyền”. Cơ chế điều khiển truy nhập
dựa trên bộ nhớ được sao chép từ bảng GRANT.
Bảng sau mô tả tên của những đặc quyền sử dụng những cấp độ của SQL trong lệnh GRANT và
REVOKE, với những tên cột liên quan tới mỗi quyền trong bảng GRANT và nội dung của mỗi
quyền đó được áp dụng:
SHOW DATABASES Show_db_priv server administration
SHUTDOWN Shutdown_priv server administration
SUPER Super_priv server administration
ALL [PRIVILEGES] server administration
USAGE server administration
Danh sách sau cung cấp một mô tả chung của mỗi lệnh trong MYSQL.
Quyền ALL hay ALL PRIVILEGES là từ viết tắt. Nó nghĩa là “all privileges available at a given
privilege level” (ngoại trừ GRANT OPTION).
Đặc quyền ALTER có thể sử dụng cho ALTER TABLE để thay đổi cấu trúc của bảng. ALTER
TABLE yêu cầu phải có quyền CREATE và INSERT. Đổi tên cho một bảng cần ALTER và DROP
trên bảng cũ, ALTER, CREATE và INSERT trên bảng mới.
Quyền ALTER ROUTINE cho phép thay đổi hay xóa một routine.
Quyền CREATE cho phép tạo database và table mới.
Quyền CREATE ROUTINE cần cho việc lưu trữ những routine.
Quyền CREATE TEMPORARY TABLES cho phép tạo ra những bảng tạm thời bằng lệnh
CREATE TEMPORARY TABLES.
Quyền CREATE USER cho phép sử dụng CREATE USER, DROP USER, RENAME USER, and
REVOKE ALL PRIVILEGES.
Quyền CREATE VIEW cho phép sử dụng CREATE VIEW.
Quyền DELETE cho phép xóa những hàng trong bảng trong database.
Quyền DROP cho phép bạn xóa những database, table và khung.
Quyền EVENT được yêu cầu để tạo, sửa đổi, xóa hay xem các sự kiện trong Event Scheduler.
Quyền này được thêm vào từ phiên bản MySQL 5.1.6.
Quyền EXECUTE được yêu cầu để thực thi những Routine
Quyền FILE cho bạn đọc và viết tập tin trên máy server sử dụng lệnh LOAD DATA INFILE và
SELECT INTO OUTFILE và LOAD_FILE().
Quyền GRANT OPTION cho phép bạn thêm cho một user nào đó hoặc gỡ từ user đó những
quyền mà bạn sỡ hữu.
Trang 14
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
sử dụng tên người dùng hiện hành Unix cũng là tên người sử dụng MySQL, điều đó chỉ
để cho tiện. Mặc định có thể được ghi đè một cách dể dàng, bởi vì các chương trình
khách hàng cho phép bất kỳ tên người dùng được xác định với một –U hoặc –USER tùy
chọn. Bất cứ ai kết nối server sử dụng bất kỳ username nào, bạn không thể làm cho
database an toàn trừ khi tất cả các user đều có password. Bất cứ ai dùng một tài khoản
không có password đều có thể kết nối tới server thành công.
Trang 15
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Tên người sử dụng MySQL có thể lên đến 16 ký tự. Tên người sử dụng trong hệ thống,
nó không liên quan đến tên người dùng MySQL, có thể có chiều dài tối da khác nhau. Ví
dụ, tên người sử dụng Unix thường giới hạn 8 ký tự.
2. Thêm mới một tài khoản:
Bạn có thể tạo một tài khoản cho MYSQL bằng 2 cách:
Sử dụng câu lệnh để tạo tài khoản như là CREATE USER hay GRANT. Những câu lệnh này
khi server thực thi sẽ tự động chỉnh sửa lại bảng GRANT.
Thao tác trực tiếp với bảng GRANT bằng cách sử dụng lệnh INSERT, UPDATE, hay
DELETE.
Sau khi đăng nhập vào hệ thống với quyền root, bạn có thể tạo user mới. Sử dụng câu lệnh
GRANT như sau để tạo ra bốn tài khoản mới:
mysql> CREATE USER 'monty'@'localhost' IDENTIFIED BY 'some_pass';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'monty'@'localhost'
-> WITH GRANT OPTION;
mysql> CREATE USER 'monty'@'%' IDENTIFIED BY 'some_pass';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'monty'@'%'
-> WITH GRANT OPTION;
mysql> CREATE USER 'admin'@'localhost';
mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost';
mysql> CREATE USER 'dummy'@'localhost';
Hai trong số các tài khoản có tên người dùng là monty và mật khẩu của some_pass . Cả hai tài
phức tạp của môi trường Web. Acunetix WVS có thể tự động kiểm tra các lổ hỗng thông dụng
như cross site scripting, sql injection và các mối nhạy cảm khác của những web site có thể truy
cập bằng trình duyệt, hay những ứng dụng được xây dụng trên các kỹ thuật tiên tiến như AJAX
để thực hiện được điều này Acunetix WVS dựa trên nhiều phương pháp và công cụ tích hợp
như:
• Crawling (lấy về) toàn bộ website gồm tất cả các liên kết trên site và cả trong tập tin robots.txt
sau đó hiển thị tòan bộ cấu trúc này một cách chi tiết.
• Sau tiến trình cwarling và khám phá tình trạng của ứng dụng web, Acunetix WVS tự động phát
động các đợt tấn công đã được lập trình sẳn dựa trên các lổ hổng, giống như khi web site bị 1
hacker tấn công thực sự, phân tích các trang và những vị trí có thể nhập liệu cùng với các sự kết
hợp khác nhau của dữ liệu đầu vào có thể làm cho website hiển thị những thông tin nhạy cảm.
Trang 18
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
• Sau khi tìm ra được các lổ hổng, Acunetix WVS thông báo trên các “Alerts Node”, mỗi alert
gồm các thông tin về lỗi cũng như các mối nguy hiểm có thể gặp phải
Bạn có thể nhấp vào mỗi alert để xem thêm thông tin chi tiết về loại lỗi đó, cũng như những
khuyến cáo về cách khắc phục
• Sau khi tiến trình kiểm tra hòan tất, chúng ta có thể lưu lại thành một tập tin để phân tích sau
này, với công cụ báo cáo chuyên nghiệp sẽ giúp cho các web master dễ dàng tổng hợp các kết
quả kiểm tra khác nhau trên ứng dụng Web của mình.
Trang 19
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
MMT03 - ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM
Sau khi quét, Acunetix WVS sẽ liệt kê cấu trúc của site, phiên bản webserver đang sử dụng, URL
không tồn tại, các lỗi phát hiện được cũng như mức độ Security của site đang quét, nhìn hình
các bạn sẽ thấy những liệt kê rất cụ thể.
Mức độ bảo mật của website được AWV đánh giá từ low, medium, high. Nếu website của bạn
được liệt kê ở mức low, hãy nhanh chóng fix lỗi mà AWV liệt kê.
Danh sách các lổ hổng bảo mật được kiểm tra bởi Acunetix WVS:
- Kiểm tra Common Files
- Kiểm tra Email Addresses
- Microsoft Office Possible Sensitive Information
- Local Path Disclosure
- Error Messages
- GHDB Google Hacking Database
- Over 1200 GHDB Search Entries in the Database
- …
Trang 21
XÂY DỰNG CHUẨN CHÍNH SÁCH CHO DOANH NGHIỆP – DATABASE SECURITY
Copyright: Tài liệu đại học ©