私のシナリオは、という名前のサーバーにインストールされた MVC ブログ (funnelweb)WEBです。SQL Server 2005 は で実行されDBます。FunnelWeb サイトには、独自のデータベースへのアクセスが必要です。SQL Server Management Studio を使用して新しいデータベースを作成し、名前を付けましたFunnelWeb。SQL 認証を使用したいので、先に進んで SQL ログインを作成しましたFunnelWebAdmin。ログイン マッピングでは、データベースにマップFunnelWebAdminし、FunnelWebデータベースに対する dbowner 権限を彼に付与しました。ログインにサーバーの役割を付与していません。
サーバーに対して SQL 認証が有効になっています。
私の質問は:
Web サイトが SQL 認証を使用してデータベースに接続できるように、このログインにサーバーの役割を付与する必要がありますか? はいの場合、サイトがデータベースを操作できるようにするための最小値です。
ロールDBAdminのユーザーがログインする権利を与えるという設定が欠けていない限り。これにより、データベースに対する完全な権限と制御が付与されます。
その Web アプリケーションを必ずロックダウンしてください。Web アプリから DB への管理者権限を付与することは、せいぜい危険です。SQL インジェクションにさらされ、あらゆる種類の問題への扉を開く可能性があります。サーバーが適切にロックダウンされていない場合、優れた攻撃者 (または Google にアクセスできる平凡な攻撃者) は、SQL インジェクション攻撃を悪用し、オペレーティング システムを完全に制御することができます。 http://sqlmap.sourceforge.net/doc/BlackHat-Europe-09-Damele-AG-Advanced-SQL-injection-whitepaper.pdf
OS を制御できなくても、データの盗難、XSS または XSRF スクリプトの挿入、またはあらゆる攻撃について心配する必要があります。
私はそれをするなと言っているのではありません。注意して、自分が何をしているのかを確実に理解するためです。脆弱性がある場合、Web アプリを介してデータベースにアクセスするのは簡単なことではありません。購入できるツールキットがあり、攻撃者は自分が何をしているのかを知る必要さえありません。
私はあなたの経験レベルがどれくらいなのかさっぱりわかりません。 あなたの質問は、あなたがスペクトルの「初心者」の端にいることを示していますが、私は間違っているかもしれません.
ただし、私が正しいと仮定すると、これらのサイトに多くの時間を費やして、できる限りのことを学ぶように強く警告します。学校や「学習プログラミング」リソース (書籍、Web、ビデオなど) で、このようなことを適切に教えていません。
Web サイト自体がインターネットにアクセスできない場合 (企業のイントラネット上で実行されており、ログインしているユーザーのみがアクセスできるなど) であっても、注意が必要です。統計によると、アクセス権を持つ不満を持った同僚は、外部の攻撃者と同じくらい脅威であることが示されています。心に留めておくべきことだけです。