ATTT_91011

Vì CSDL chứa lượng lớn thông tin nhạy cảm (khách hàng, tài chính, nhân sự) và có thể là mục tiêu của tin tặc.

Vì CSDL hoạt động trên phần cứng yếu kém.

Vì CSDL không có người dùng truy cập.

Vì CSDL chỉ chứa dữ liệu công khai.

Kẻ tấn công chèn các câu lệnh SQL độc hại vào yêu cầu của ứng dụng web để đọc hoặc sửa dữ liệu

Tạo thêm mã SQL để tăng tốc cơ sở dữ liệu

Gửi email chứa mã độc vào địa chỉ của quản trị viên cơ sở dữ liệu

Xóa toàn bộ SQL Server

Lấy thông tin gián tiếp bằng cách tổng hợp các dữ liệu hợp pháp (ví dụ truy vấn trích lọc) để suy ra thông tin nhạy cảm.

Sử dụng khẩu súng định lượng số để phá khóa dữ liệu.

Trực tiếp tấn công vào kernel của máy chủ cơ sở dữ liệu.

Không thể xảy ra nếu sử dụng SQL

Cả tính bảo mật (confidentiality) và tính toàn vẹn (integrity).

Chỉ tính sẵn sàng (availability).

Chỉ tính tái sử dụng (usability).

Chỉ tính xác thực (authentication).

Tính bảo mật, tính toàn vẹn, tính sẵn sàng của dữ liệu

Tính công khai, tính toàn vẹn, tính bền vững

Tính bảo mật, khả năng kiểm toán, tính khả dụng

Tính chính xác, tính bảo mật, tính nhanh chóng

Để giới hạn quyền hạn của ứng dụng và giảm thiểu rủi ro nếu ứng dụng bị tấn công (ví dụ SQL injection)

Để giảm số lượng mật khẩu người dùng phải nhớ

Để tất cả người dùng c

Để giới hạn quyền hạn của ứng dụng và giảm thiểu rủi ro nếu ứng dụng bị tấn công (ví dụ SQL injection)

Để giảm số lượng mật khẩu người dùng phải nhớ

Để tất cả người dùng có thể truy cập cùng dữ liệu

Không cần thiết và làm phức tạp hệ thống

Dữ liệu bên trong cơ sở dữ liệu (data)

Hệ quản trị cơ sở dữ liệu (DBMS)

Ứng dụng liên kết (application) truy cập cơ sở dữ liệu

Nguồn điện cấp cho máy chủ

Nhật ký (logs) ghi lại các truy vấn và phiên làm việc

Tường lửa ứng dụng

Sao lưu hàng tuần

Phần cứng mã hóa

Sử dụng câu lệnh SQL đã được chuẩn bị trước (prepared statements) và truy vấn có tham số

Tắt tất cả tài khoản trên hệ thống

Lưu mật khẩu ở dạng văn bản thuần (plain text)

Sử dụng mật khẩu rất đơn giản