安全研究
安全漏洞
Microsoft SQL 7.0口令加密机制易遭破译
发布日期:2000-03-17
更新日期:2000-03-17
受影响系统:Microsoft SQL Server 7.0
- Microsoft Windows NT 4.0
- Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
描述:
如果没有设置'Always prompt for login name and password'(总是提示输入登录名和口令)
选项,并且没有使用Windows系统认证,Enterprise Manager for SQL Server 7会将SQL用户
的登录ID和口令保存在注册表的
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSSQLServer\SQLEW\Registered Server X
键中。口令的加密
机制是:根据每个Unicode字符(双字节)在字符串中的位置得到两个字节,再将这两个字节与
该字符做异或操作。
如果已经设置了'Always prompt for login name and password'或者使用了Windows系统
认证方式,则用户ID和口令就不会保存。
<* 来源: ISS-041 http://www.iss.net *>
建议:
Microsoft建议使用Windows系统认证方式,在这种模式下,SQL用户将与Windows用户帐号相联
系,而不必创建专门的SQL用户ID.
浏览次数:6633
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |