深入探索MS SQL Server 2000网络连接的安全问题（1）

深入探索MS SQL Server 2000网络连接的安全问题（1）

下面我们要说的，并不是SQL Server存在的漏洞，而只是一些安全缺陷，存在一些问题，当然这些问题是SQL Server一产生的时候就存在的。

1、MS SQL Server的密码明文传输缺陷

很倒霉，我没有在微软发布SQL Server的时候做下面的分析。当我吃惊地发现SQL Server竟然是使用明文进行密码传输的时候，我就马上去查阅是否有这些资料。可惜已经早早有人提出能够用sniffer获取SQL Server的密码了。不过，既然微软这么大胆，我们还是去看看，分析分析这个缺陷。

当然，SQL Server的连接过程还是先进行TCP连接的三次握手，同服务器建立连接过后，然后进行TDS（tabular data stream）协议的数据交流，可惜的是我一直没有找到TDS协议的具体描述，只有一些片段，所以，都只能一点点地对着数据报分析。谁有TDS协议（SQL Sevrer）的具体描述一定送我一份哦。

直接到login包吧，你会发现，你的用户名完全是明文的，而密码还不是。当你改变密码的时候，你可以看出，相同字符的编码是一样的，密码字符之间用一个相同的字符作为分隔“a5”。呵呵。所以，最傻的办法就是我做的这样，一个字符一个字符地改变密码，然后得到所有字符的对应编码（我不会解密）。
我使用的是SQL Server 2000 。我这里列举一部分得到的对应编码。大家可以很容易得到完整的字符编码。
“a”——b3 “A”——b1
“b”——83 “B”——81
“c”——93 “C”——91
“d”——e3 “D”——e1
“e”——f3 “E”——f1
等等。

对了，在SQL Server中不支持用 '、" 等等符号作为密码，如果你在用这些字符作为密码的话，那就糟糕了，你永远也登陆不上了，除非更改密码。
在TDS数据报的头中规定了一个字节来表示数据报类型，我探测到的是0x10，而我得到的资料说是用0x02来表示Login的数据报，可能是MS SQL Server在协议上有一些改动，因为Sybase也是使用的TDS协议的，那么Sybase可能也是使用的明文传输吧，我手里没有Sybase。可惜没有TDS协议的完整描述，所以，我也偷懒没有写出专门获得SQL Server帐号和密码的sniffer程序，谁能给我TDS协议的详细描述，请email: refdom@263.net。

不过MS对SQL Server的传输还是提供加密办法的，你可以使用SSL来加密。于是我也试了试，可以在实例属性的网络配置里面选择强制协议加密，然后要求你重新启动SQL Server，呵呵，然后呢，你启动起来了么？哈哈，我可是吃了亏的。因为没有SSL证书，所以，你一启动就错误，事件日志中说明是没有提供有效的证书。重新安装吧。该死的MS也不在我选择的时候提醒一下。

嗅探得到数据库帐号意味着什么？如果能够得到SA帐号呢？哈哈，有兴趣可以看看我前些天写的《从IIS转到SQL数据库安全》。


2、明文的数据传输缺陷
如果没有使用加密的协议的话，那么整个数据库的网络数据都是没有加密的，而且是明文传输。无论是从客户端发送命令还是从服务器端得到结果，都是明文传输的。看来，如果你用加密的协议，微软是不会为你做任何安全防护的。我想，目前国内使用的SQL Server数据库差不多都是没有使用SSL来加密，看来在网络上能得到不少东西。（未完待续）

深入探索MS SQL Server 2000网络连接的安全问题（2）：【上一篇】
Windows XP到底有多安全：【下一篇】