首页 -> 安全研究

安全研究

安全漏洞
Microsoft SQL 7.0口令加密机制易遭破译

发布日期:2000-03-17
更新日期:2000-03-17

受影响系统:
Microsoft SQL Server 7.0
   - Microsoft Windows NT 4.0
   - Microsoft BackOffice 4.5
   - Microsoft Windows NT 4.0
描述:
如果没有设置'Always prompt for login name and password'(总是提示输入登录名和口令)
选项,并且没有使用Windows系统认证,Enterprise Manager for SQL Server 7会将SQL用户
的登录ID和口令保存在注册表的
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSSQLServer\SQLEW\Registered Server X
键中。口令的加密

机制是:根据每个Unicode字符(双字节)在字符串中的位置得到两个字节,再将这两个字节与
该字符做异或操作。

如果已经设置了'Always prompt for login name and password'或者使用了Windows系统
认证方式,则用户ID和口令就不会保存。

<* 来源: ISS-041  http://www.iss.net  *>

建议:
Microsoft建议使用Windows系统认证方式,在这种模式下,SQL用户将与Windows用户帐号相联
系,而不必创建专门的SQL用户ID.

浏览次数:6633
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障