Ⅰ Web應用常見的安全漏洞有哪些
OWASP總結了現有Web應用程序在安全方面常見的十大漏洞分別是:非法輸入、失效的訪問控制、失效的賬戶和線程管理、跨站腳本攻擊、緩存溢出問題、注入式攻擊、異常錯誤處理、不安全的存儲、程序拒絕服務攻擊、不安全的配置管理等。
非法輸入
Unvalidated Input
在數據被輸入程序前忽略對數據合法性的檢驗是一個常見的編程漏洞。隨著OWASP對Web應用程序脆弱性的調查,非法輸入的問題已成為大多數Web應用程序安全漏洞方面的一個普遍現象。
失效的訪問控制
Broken Access Control
大部分企業都非常關注對已經建立的連接進行控制,但是,允許一個特定的字元串輸入可以讓攻擊行為繞過企業的控制。
失效的賬戶和線程管理
Broken Authentication and Session Management
有良好的訪問控制並不意味著萬事大吉,企業還應該保護用戶的密碼、會話令牌、賬戶列表及其它任何可為攻擊者提供有利信息、能幫助他們攻擊企業網路的內容。
跨站點腳本攻擊
Cross Site Scripting Flaws
這是一種常見的攻擊,當攻擊腳本被嵌入企業的Web頁面或其它可以訪問的Web資源中,沒有保護能力的台式機訪問這個頁面或資源時,腳本就會被啟動,這種攻擊可以影響企業內成百上千員工的終端電腦。
緩存溢出問題
Buffer Overflows
這個問題一般出現在用較早的編程語言、如C語言編寫的程序中,這種編程錯誤其實也是由於沒有很好地確定輸入內容在內存中的位置所致。
注入式攻擊
Injection Flaws
如果沒有成功地阻止帶有語法含義的輸入內容,有可能導致對資料庫信息的非法訪問,在Web表單中輸入的內容應該保持簡單,並且不應包含可被執行的代碼。
異常錯誤處理
Improper Error Handling
當錯誤發生時,向用戶提交錯誤提示是很正常的事情,但是如果提交的錯誤提示中包含了太多的內容,就有可能會被攻擊者分析出網路環境的結構或配置。
不安全的存儲
Insecure Storage
對於Web應用程序來說,妥善保存密碼、用戶名及其他與身份驗證有關的信息是非常重要的工作,對這些信息進行加密則是非常有效的方式,但是一些企業會採用那些未經實踐驗證的加密解決方案,其中就可能存在安全漏洞。
程序拒絕服務攻擊
Application Denial of Service
與拒絕服務攻擊 (DoS)類似,應用程序的DoS攻擊會利用大量非法用戶搶占應用程序資源,導致合法用戶無法使用該Web應用程序。
不安全的配置管理
Insecure Configuration Management
有效的配置管理過程可以為Web應用程序和企業的網路架構提供良好的保護。
以上十個漏洞並不能涵蓋如今企業Web應用程序中的全部脆弱點,它只是OWASP成員最常遇到的問題,也是所有企業在開發和改進Web應用程序時應著重檢查的內容。
Ⅱ 墨菲定律視角下的資料庫入侵防禦
作者:漢領信息 兩塊
企業對數據資產的安全防護存在多項工作,數據備份安全、數據存儲安全、數據脫敏及加密……以可用性為主的業務安全觀點人群中,大多還沒有完全理解資料庫安全的重要性,而據前瞻性統計發現,越來越多的企業信息安全負責人開始將資料庫安全細分領域列入自己的備忘清單。業務連續性為企業組織的根本核心,而業務安全和數據安全是企業長久發展的安全保障,在以企業數據資產為核心競爭力的現下,資料庫作為企業組織「核心競爭力」–數據資產–的容器,承載了企業核心數據,成為業務運行和數據保護的基礎設施,資料庫的安全防禦問題已躍至CTO/CIO的工作內容象限的榜首。
企業組織的資料庫體系,不僅僅是資料庫軟體平台本身,不會流動的數據沒有意義,當我們考慮資料庫安全的時候,顯然我們需要合理評估資料庫的受攻擊面大小,資料庫訪問涉及的認證、授權和審計問題,由於開發人員疏忽帶來的軟體漏洞和運維人員的管理不善等。各種各樣的風險都可能產生並帶來可怕的後果,筆者實驗室通過收集各漏洞平台及企業安全運營者的反饋資料庫安全信息,參考OWASP TOP 10制定了資料庫應用防禦的十大資料庫風險威脅列表。
十大資料庫安全威脅(DB Vuln Top 10)
1. 許可權濫用
2. 特權提升
3. 資料庫軟體漏洞
4. sql注入
5. 審計記錄缺失
6. 拒絕服務
7. 通信協議漏洞
8. 身份驗證不足
9. 敏感數據泄露
10. 安全配置不規范
答案就是墨菲定律,它闡述了一個事實:如果事情有變糟糕(發生)的可能,不管這種可能性有多小,它總會發生。
此後在技術界也不脛而走,並不是我要將其強加在資料庫安全領域,因為它道出了一個法則,即安全風險必將由可能性變為突發性的事實。
從墨菲定律來觀察資料庫入侵防禦,我們要持以積極的態度,既然資料庫安全風險一定會發生,那我們一定要順應必然性,積極應對,做好事件應急和處置。在資料庫安全防禦方面來說,要科學合理規劃全面積極的應對方案,必須做到事前主動防禦、事中及時阻斷、事後完整審計。
根據墨菲定律可總結對資料庫入侵防禦的啟示:
1. 不能忽視資料庫風險小概率事件
雖然資料庫安全事件不斷發生,但仍有一定數量的安全負責人認為,企業安全防護已經從物理層、網路層、計算主機層、應用層等進行了多重防禦,網路邊界嚴格准入控制,外部威脅情報和內部態勢感知系統能完美配合,業務數據早已經過層層保護,安全威脅不可能被利用發生資料庫安全事件。
由於小概率事件在一次實驗或活動中發生的可能性很小,因此,就給人一種錯誤的理解,即在一次活動中不會發生。與事實相反,正是由於這種錯覺,加大了事件發生的可能性,其結果是事故可能頻繁發生。雖然事件原因是復雜的,但這卻說明小概率事件也會常發生的客觀事實。
墨菲定律正是從強調小概率事件的重要性的角度啟示我們,雖然資料庫安全風險事件發生的概率很小,但在入侵防禦體系活動中,仍可能發生且必將發生,因此不能忽視。
2. 在資料庫安全中積極應用墨菲定律
1)強化資料庫入侵防禦的安全認知
資料庫已經成為企業安全防護的核心,預防資料庫不安全狀態的意外性事件發生,認識資料庫安全威脅事件可能發生的必然性,必須要採取事前預防措施,從網路層、應用層和資料庫層,涵蓋業務系統(中間件)和運維DBA,全面管控,提前謀劃。既然資料庫入侵事件無可避免,那一定要保證完整原始的資料庫訪問記錄,以供審計取證留存證據,做到有據可查。
2)規范安全管理,正確認識資料庫安全控制
安全管理的目標是杜絕事故的發生,而事故是一種不經常發生的意外事件,這些意外事件發生的概率一般比較小,由於這些小概率事件在大多數情況下不發生,所以,往往管理疏忽恰恰是事故發生的主觀原因。墨菲定律告誡我們,資料庫及業務數據的安全控制不能疏忽。要想保證資料庫安全,必須從基礎做起,對資料庫的基本安全配置,要形成統一的安全基線,對資料庫的訪問行為要做到 「白名單化」,採取積極的預防方法和措施,消除意外的事件發生。
3)轉變觀念,資料庫入侵防禦變被動為主動
傳統安全管理是被動的安全管理,是在安全管理活動中採取安全措施或事故發生後,通過總結教訓,進行「亡羊補牢」式的管理。隨著IT網路技術迅速發展,安全攻擊方式不斷變化,新的安全威脅不斷涌現,發生資料庫安全事件的誘因增多,而傳統的網路型入侵防禦系統模式已難於應付當前對資料庫安全防禦的需求。為此,不僅要重視已有的安全威脅,還要主動地去識別新的風險,主動學習,模態分析,及時而准確的阻斷風險活動,變被動為主動,牢牢掌握資料庫入侵防禦的主動權。
1. 資料庫入侵防禦系統串聯與並聯之爭
資料庫入侵防禦系統,可以通過串聯或旁路部署的方式,對業務系統與資料庫之間的訪問行為進行精確識別、精準阻斷。不僅如此,合理使用還能具有事前主動防禦和事後審計追溯的能力。
不過,部分用戶認為旁路的阻斷行為效果不佳,而串聯進網路實現實時阻斷,又擔心影響業務訪問時。
串聯模式部署在業務系統與資料庫中間,通過流量協議解碼對所有SQL語句進行語法解析,審核基於TCP/IP五元組(來往地址、埠與協議)、准入控制因素和資料庫操作行為的安全策略,結合自主動態建模學習的白名單規則,能夠准確識別惡意資料庫指令,及時阻斷會話或准確攔截惡意操作語句。串聯模式部署最大風險在於不能出現誤判,否則影響正常語句通過,此必需要系統的SQL語句解析能力足夠精確,並且能夠建立非常完善的行為模型,在發現危險語句時,能夠在不中斷會話的情況下,精準攔截風險語句,且不影響正常訪問請求。因此,若想資料庫入侵防禦系統發揮最佳效果,必須串聯在資料庫的前端,可以物理串聯(透明橋接)或邏輯串聯(反向代理)。
旁路部署模式,目前常用方式是通過發送RESET指令進行強行會話重置,此部署方式在較低流量情況下效果最佳。如在業務系統大並發情況下,每秒鍾SQL交易量萬條以上,這種旁路識別阻斷有可能出現無法阻斷情況,且會出現延遲。有可能因為延遲,阻斷請求發送在SQL語句執行之後,那麼反倒影響了正常業務請求。所以在高並發大流量場景下,如果要實現實時精準阻斷攔截效果,就要求資料庫入侵防禦系統具有超高端的處理性能。
至於串聯部署還是旁路部署更為合適,需要匹配相應的業務系統場景。資料庫入侵防禦系統最終奧義是它的防禦效果,即對風險語句的精準阻斷能力,從墨菲定律對比分析,旁路部署有阻斷請求的可能性則必然會發生。而串聯存在影響業務訪問的擔憂,那它始終都會發生,而正視這種風險,讓我們對資料庫入侵防禦系統的精準阻斷能力有更高要求,盡可能將這種風險降到最低。
2. 資料庫入侵防禦系統串聯實時同步阻斷與非同步阻斷之爭
相對資料庫入侵防禦系統的串並聯之爭來講,串聯實現同步阻斷與非同步阻斷更為細分了,市面上存在兩類串聯的資料庫入侵防禦系統;
一類就是以IBM Guardium為代表的本地代理引擎在線監聽非同步阻斷,當有危險語句通過代理到DBMS時,代理會將內容信息副本發至分析中心,由中心判斷是否違法或觸犯入侵防禦規則,進而給代理程序發出阻斷指令,很顯然這種部署的好處是不局限與資料庫的網路環境,ip可達即可,而壞處就更明顯了,那就是agent與Center通信期間,sql訪問是放行的,也就是如果在前面幾個包就出現了致命攻擊語句,那麼這次攻擊就會被有效執行,即防禦體系被有效繞過。
另一類就是以國內廠商漢領信息為代表的串聯實時同步阻斷,當有危險語句通過串聯資料庫入侵防禦系統時,入侵防禦系統若監測到風險語句,立馬阻斷;無風險的語句放行,這種模式及立馬分析立馬判斷。也很顯然,這種部署模式的好處是小概率事件或預謀已久的直接攻擊語句也會被實時阻斷;而壞處也非常明顯,那就是處理效率,如果資料庫入侵防禦系統處理效率不行,那就會出現排隊等待的狀態,業務的連續性就造成了影響。關鍵就是要把握這個平衡點,至少要達到無感知,這個點的取捨就取決於各個資料庫安全廠商處理sql語句的演算法能力了。
墨菲定律並不復雜,將它應用到資料庫入侵防禦領域,揭示了在資料庫安全中不能忽視的小概率風險事件,要正視墨菲定律轉為積極響應,應充分理解墨菲定律,抵制 「資料庫層層保護不存在風險」、「別人都是這樣做」、「資料庫入侵防禦系統並聯不會誤阻斷」 等錯誤認識,牢記只要存在風險隱患,就有事件可能,事件遲早會發生,我們應當杜絕習慣性認知,積極主動應對資料庫安全風險。
Ⅲ 資料庫mysql創建表格老是出錯,看不懂英文提示
來自:51CTO(作者:superZS)
我在剛開始學習資料庫的時候,沒少走彎路。經常會遇到各種稀奇古怪的 error 信息,遇到報錯會很慌張,急需一個解決問題的辦法。跟無頭蒼蠅一樣,會不加思索地把錯誤粘到網路上,希望趕緊查找一下有沒有好的處理問題的方法。我想這個應該是剛從事資料庫的小白,都會遇到窘境。
今天就給大家列舉 MySQL 資料庫中,最經典的十大錯誤案例,並附有處理問題的解決思路和方法,希望能給剛入行,或資料庫愛好者一些幫助,今後再遇到任何報錯,我們都可以很淡定地去處理。
學習任何一門技術的同時,其實就是自我修煉的過程。沉下心,嘗試去擁抱數據的世界!
Top 1:
Too many connections(連接數過多,導致連接不上資料庫,業務無法正常進行)
問題還原
解決問題的思路:
1、首先先要考慮在我們 MySQL 資料庫參數文件裡面,對應的 max_connections 這個參數值是不是設置的太小了,導致客戶端連接數超過了資料庫所承受的最大值。
● 該值默認大小是151,我們可以根據實際情況進行調整。
● 對應解決辦法:set global max_connections=500
但這樣調整會有隱患,因為我們無法確認資料庫是否可以承擔這么大的連接壓力,就好比原來一個人只能吃一個饅頭,但現在卻非要讓他吃 10 個,他肯定接受不了。反應到伺服器上面,就有可能會出現宕機的可能。
所以這又反應出了,我們在新上線一個業務系統的時候,要做好壓力測試。保證後期對資料庫進行優化調整。
2、其次可以限制 Innodb 的並發處理數量,如果 innodb_thread_concurrency = 0(這種代表不受限制) 可以先改成 16或是64 看伺服器壓力。如果非常大,可以先改的小一點讓伺服器的壓力下來之後,然後再慢慢增大,根據自己的業務而定。個人建議可以先調整為 16 即可。
MySQL 隨著連接數的增加性能是會下降的,可以讓開發配合設置 thread pool,連接復用。在MySQL商業版中加入了thread pool這項功能
另外對於有的監控程序會讀取 information_schema 下面的表,可以考慮關閉下面的參數
innodb_stats_on_metadata=0
set global innodb_stats_on_metadata=0
Top 2:(主從復制報錯類型)
Last_SQL_Errno: 1062 (從庫與主庫數據沖突)
Last_Errno: 1062
Last_Error: Could not execute Write_rows event on table test.t;
Duplicate entry '4' for key 'PRIMARY',
Error_code: 1062; handler error HA_ERR_FOUND_DUPP_KEY;
the event's master log mysql-bin.000014, end_log_pos 1505
針對這個報錯,我們首先要考慮是不是在從庫中誤操作導致的。結果發現,我們在從庫中進行了一條針對有主鍵表的 sql 語句的插入,導致主庫再插入相同 sql 的時候,主從狀態出現異常。發生主鍵沖突的報錯。
解決方法:
在確保主從數據一致性的前提下,可以在從庫進行錯誤跳過。一般使用 percona-toolkit 中的 pt-slave-restart 進行。
在從庫完成如下操作
[root@zs bin]# ./pt-slave-restart -uroot -proot123
2017-07-20T14:05:30 p=...,u=root node4-relay-bin.000002 1506 1062
之後最好在從庫中開啟 read_only 參數,禁止在從庫進行寫入操作
Last_IO_Errno: 1593(server-id沖突)
Last_IO_Error:
Fatal error: The slave I/O thread stops because master and slave have equal MySQL server ids;
these ids must be different for replication to work
(or the --replicate-same-server-id option must be used on slave but this
does not always make sense; please check the manual before using it)
這個報錯出現之後,就看一目瞭然看到兩台機器的 server-id 是一樣的。
在搭建主從復制的過程中,我們要確保兩台機器的 server-id 是唯一的。這里再強調一下 server-id 的命名規則(伺服器 ip 地址的最後一位+本 MySQL 服務的埠號)
解決方法:
在主從兩台機器上設置不同的 server-id。
Last_SQL_Errno: 1032(從庫少數據,主庫更新的時候,從庫報錯)
Last_SQL_Error:
Could not execute Update_rows event on table test.t; Can't find record
in 't', Error_code: 1032; handler error HA_ERR_KEY_NOT_FOUND; the
event's master log mysql-bin.000014, end_log_pos 1708
解決問題的辦法:
根據報錯信息,我們可以獲取到報錯日誌和position號,然後就能找到主庫執行的哪條sql,導致的主從報錯。
在主庫執行:
/usr/local/mysql/bin/mysqlbinlog --no-defaults -v -v --base64-output=decode-rows /data/mysql/mysql-bin.000014 |grep -A 10 1708 > 1.log
cat 1.log
#170720 14:20:15 server id 3 end_log_pos 1708 CRC32 0x97b6bdec Update_rows: table id 113 flags: STMT_END_F
### UPDATE `test`.`t`
### WHERE
### @1=4 /* INT meta=0 nullable=0 is_null=0 */
### @2='dd' /* VARSTRING(60) meta=60 nullable=1 is_null=0 */
### SET
### @1=4 /* INT meta=0 nullable=0 is_null=0 */
### @2='ddd' /* VARSTRING(60) meta=60 nullable=1 is_null=0 */
# at 1708
#170720 14:20:15 server id 3 end_log_pos 1739 CRC32 0xecaf1922 Xid = 654
COMMIT/*!*/;
DELIMITER ;
# End of log file
ROLLBACK /* added by mysqlbinlog */;
/*!50003 SET COMPLETION_TYPE=@OLD_COMPLETION_TYPE*/;
/*!50530 SET @@SESSION.PSEUDO_SLAVE_MODE=0*/;
獲取到 sql 語句之後,就可以在從庫反向執行 sql 語句。把從庫缺少的 sql 語句補全,解決報錯信息。
在從庫依次執行:
mysql> insert into t (b) values ('ddd');
Query OK, 1 row affected (0.01 sec)
mysql> stop slave;
Query OK, 0 rows affected (0.00 sec)
mysql> exit
Bye
[root@node4 bin]# ./pt-slave-restart -uroot -proot123
2017-07-20T14:31:37 p=...,u=root node4-relay-bin.000005 283 1032
Top 3:MySQL安裝過程中的報錯
[root@zs data]# /usr/local/mysql/bin/mysqld_safe --defaults-file=/etc/my.cnf &[1] 3758
[root@zs data]# 170720 14:41:24 mysqld_safe Logging to '/data/mysql/error.log'.
170720 14:41:24 mysqld_safe Starting mysqld daemon with databases from /data/mysql170720
14:41:25 mysqld_safe mysqld from pid file /data/mysql/node4.pid ended
170720 14:41:24 mysqld_safe Starting mysqld daemon with databases from /data/mysql2017-07-20
14:41:25 0 [Warning] TIMESTAMP with implicit DEFAULT value is deprecated.
Please use --explicit_defaults_for_timestamp server option
(see documentation for more details)./usr/local/mysql/bin/mysqld:
File '/data/mysql/mysql-bin.index' not found (Errcode: 13 - Permission denied)
2017-07-20 14:41:25 4388 [ERROR] Aborting
解決思路:
遇到這樣的報錯信息,我們要學會時時去關注錯誤日誌 error log 裡面的內容。看見了關鍵的報錯點 Permission denied。證明當前 MySQL 資料庫的數據目錄沒有許可權。
解決方法:
[root@zs data]# chown mysql:mysql -R mysql
[root@zs data]# /usr/local/mysql/bin/mysqld_safe --defaults-file=/etc/my.cnf &
[1] 4402
[root@zs data]# 170720 14:45:56 mysqld_safe Logging to '/data/mysql/error.log'.
170720 14:45:56 mysqld_safe Starting mysqld daemon with databases from /data/mysql
啟動成功。
如何避免這類問題,個人建議在安裝 MySQL 初始化的時候,一定加上--user=mysql,這樣就可以避免許可權問題。
./mysql_install_db --basedir=/usr/local/mysql/ --datadir=/data/mysql/ --defaults-file=/etc/my.cnf --user=mysql
Top 4:資料庫密碼忘記的問題
[root@zs ~]# mysql -uroot -p
Enter password:
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
[root@zs ~]# mysql -uroot -p
Enter password:
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
我們有可能剛剛接手別人的 MySQL 資料庫,而且沒有完善的交接文檔。root 密碼可以丟失或者忘記了。
解決思路:
目前是進入不了資料庫的情況,所以我們要考慮是不是可以跳過許可權。因為在資料庫中,mysql資料庫中user表記錄著我們用戶的信息。
解決方法:
啟動 MySQL 資料庫的過程中,可以這樣執行:
/usr/local/mysql/bin/mysqld_safe --defaults-file=/etc/my.cnf --skip-grant-tables &
這樣啟動,就可以不用輸入密碼,直接進入 mysql 資料庫了。然後在修改你自己想要改的root密碼即可。
update mysql.user set password=password('root123') where user='root';
Top 5:truncate 刪除數據,導致自動清空自增ID,前端返回報錯 not found。
這個問題的出現,就要考慮下 truncate 和 delete 的區別了。
看下實驗演練:
首先先創建一張表;
CREATE TABLE `t` (
`a` int(11) NOT NULL AUTO_INCREMENT,
`b` varchar(20) DEFAULT NULL,
PRIMARY KEY (`a`),
KEY `b` (`b`)
) ENGINE=InnoDB AUTO_INCREMENT=300 DEFAULT CHARSET=utf8
插入三條數據:
mysql> insert into t (b) values ('aa');
Query OK, 1 row affected (0.00 sec)
mysql> insert into t (b) values ('bb');
Query OK, 1 row affected (0.00 sec)
mysql> insert into t (b) values ('cc');
Query OK, 1 row affected (0.00 sec)
mysql> select * from t;
+-----+------+
| a | b |
+-----+------+
| 300 | aa |
| 301 | bb |
| 302 | cc |
+-----+------+
3 rows in set (0.00 sec)
先用 delete 進行刪除全表信息,再插入新值。
結果發現 truncate 把自增初始值重置了,自增屬性從1開始記錄了。當前端用主鍵id進行查詢時,就會報沒有這條數據的錯誤。
個人建議不要使用 truncate 對表進行刪除操作,雖然可以回收表空間,但是會涉及自增屬性問題。這些坑,我們不要輕易鑽進去。
Top 6:
阿里雲 MySQL 的配置文件中,需要注意一個參數設置就是:
lower_case_table_names = 0;默認情況
lower_case_table_names = 1;是不區分大小寫 . 如果報你小寫的表名找不到, 那你就把遠端資料庫的表名改成小寫 , 反之亦然 . 注意 Mybatis 的 Mapper 文件的所有表名也要相應修改
Top 7:
有同學經常會問張老師,為什麼我的資料庫總會出現中文亂碼的情況。一堆????不知道怎麼回事。當向資料庫中寫入創建表,並插入中文時,會出現這種問題。此報錯會涉及資料庫字元集的問題。
解決思路:
對於中文亂碼的情況,記住老師告訴你的三個統一就可以。還要知道在目前的mysql資料庫中字元集編碼都是默認的UTF8
處理辦法:
1、數據終端,也就是我們連接資料庫的工具設置為 utf8
2、操作系統層面;可以通過 cat /etc/sysconfig/i18n 查看;也要設置為 utf8
3、資料庫層面;在參數文件中的 mysqld 下,加入 character-set-server=utf8。
Emoji 表情符號錄入 mysql 資料庫中報錯。
Caused by: java.sql.SQLException: Incorrect string value: '\xF0\x9F\x98\x97\xF0\x9F...' for column 'CONTENT' at row 1
at com.mysql.jdbc.SQLError.createSQLException(SQLError.java:1074)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4096)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4028)
at com.mysql.jdbc.MysqlIO.sendCommand(MysqlIO.java:2490)
at com.mysql.jdbc.MysqlIO.sqlQueryDirect(MysqlIO.java:2651)
at com.mysql.jdbc.ConnectionImpl.execSQL(ConnectionImpl.java:2734)
at com.mysql.jdbc.PreparedStatement.executeInternal(PreparedStatement.java:2155)
at com.mysql.jdbc.PreparedStatement.execute(PreparedStatement.java:1379)
解決思路:針對表情插入的問題,一定還是字元集的問題。
處理方法:我們可以直接在參數文件中,加入
vim /etc/my.cnf
[mysqld]
init-connect='SET NAMES utf8mb4'
character-set-server=utf8mb4
註:utf8mb4 是 utf8 的超集。
Top 8:使用 binlog_format=statement 這種格式,跨庫操作,導致從庫丟失數據,用戶訪問導致出現錯誤數據信息。
當前資料庫二進制日誌的格式為:binlog_format=statement
在主庫設置binlog-do-db=mydb1(只同步mydb1這一個庫)
在主庫執行use mydb2;
insert into mydb1.t1 values ('bb');這條語句不會同步到從庫。
但是這樣操作就可以;
use mydb1;
insert into mydb1.t1 values ('bb');因為這是在同一個庫中完成的操作。
在生產環境中建議使用binlog的格式為row,而且慎用binlog-do-db參數。
Top 9:MySQL 資料庫連接超時的報錯 ;
org.hibernate.util.JDBCExceptionReporter - SQL Error:0, SQLState: 08S01
org.hibernate.util.JDBCExceptionReporter - The last packet successfully received from the server was43200 milliseconds ago.The last packet sent successfully to the server was 43200 milliseconds ago, which is longer than the server configured value of 'wait_timeout'. You should consider either expiring and/or testing connection validity before use in your application, increasing the server configured values for client timeouts, or using the Connector/J connection 'autoReconnect=true' to avoid this problem.
org.hibernate.event.def.AbstractFlushingEventListener - Could not synchronize database state with session
org.hibernate.exception.JDBCConnectionException: Could not execute JDBC batch update
com.mysql.jdbc.exceptions.jdbc4.: Connection.close() has already been called. Invalid operation in this state.
org.hibernate.util.JDBCExceptionReporter - SQL Error:0, SQLState: 08003
org.hibernate.util.JDBCExceptionReporter - No operations allowed after connection closed. Connection was implicitly closed e to underlying exception/error:
** BEGIN NESTED EXCEPTION **
大多數做 DBA 的同學,可能都會被開發人員告知,你們的資料庫報了這個錯誤了。趕緊看看是哪裡的問題。
這個問題是由兩個參數影響的,wait_timeout 和 interactive_timeout。數據默認的配置時間是28800(8小時)意味著,超過這個時間之後,MySQL 資料庫為了節省資源,就會在資料庫端斷開這個連接,Mysql伺服器端將其斷開了,但是我們的程序再次使用這個連接時沒有做任何判斷,所以就掛了。
解決思路:
先要了解這兩個參數的特性;這兩個參數必須同時設置,而且必須要保證值一致才可以。
我們可以適當加大這個值,8小時太長了,不適用於生產環境。因為一個連接長時間不工作,還佔用我們的連接數,會消耗我們的系統資源。
解決方法:
可以適當在程序中做判斷;強烈建議在操作結束時更改應用程序邏輯以正確關閉連接;然後設置一個比較合理的timeout的值(根據業務情況來判斷)
Top 10 :can't open file (errno:24)
有的時候,資料庫跑得好好的,突然報不能打開資料庫文件的錯誤了。
解決思路:
首先我們要先查看資料庫的 error log。然後判斷是表損壞,還是許可權問題。還有可能磁碟空間不足導致的不能正常訪問表;操作系統的限制也要關注下;用 perror 工具查看具體錯誤!
linux:/usr/local/mysql/bin # ./perror 24
OS error code 24: Too many open files
超出最大打開文件數限制!ulimit -n查看系統的最大打開文件數是65535,不可能超出!那必然是資料庫的最大打開文件數超出限制!
在 MySQL 里查看最大打開文件數限制命令:show variables like 'open_files_limit';
發現該數值過小,改為2048,重啟 MySQL,應用正常
處理方法:
repair table ;
chown mysql許可權
清理磁碟中的垃圾數據
Ⅳ Web應用常見的安全漏洞有哪些
Web應用常見的安全漏洞:
1、SQL注入
注入是一個安全漏洞,允許攻擊者通過操縱用戶提供的數據來更改後端SQL語句。當用戶輸入作為命令或查詢的一部分被發送到解釋器並且欺騙解釋器執行非預期的命令並且允許訪問未授權的數據時,發生注入。
2、跨站腳本攻擊 (XSS)
XSS漏洞針對嵌入在客戶端(即用戶瀏覽器而不是伺服器端)的頁面中嵌入的腳本。當應用程序獲取不受信任的數據並將其發送到Web瀏覽器而未經適當驗證時,可能會出現這些缺陷。
3、跨站點請求偽造
CSRF攻擊是指惡意網站,電子郵件或程序導致用戶的瀏覽器在用戶當前已對其進行身份驗證的受信任站點上執行不需要的操作時發生的攻擊。
4、無法限制URL訪問
Web應用程序在呈現受保護的鏈接和按鈕之前檢查URL訪問許可權 每次訪問這些頁面時,應用程序都需要執行類似的訪問控制檢查。通過智能猜測,攻擊者可以訪問許可權頁面。攻擊者可以訪問敏感頁面,調用函數和查看機密信息。
5、不安全的加密存儲
不安全的加密存儲是一種常見的漏洞,在敏感數據未安全存儲時存在。用戶憑據,配置文件信息,健康詳細信息,信用卡信息等屬於網站上的敏感數據信息。
(4)資料庫開發者十大錯誤擴展閱讀
web應用漏洞發生的市場背景:
由於Web伺服器提供了幾種不同的方式將請求轉發給應用伺服器,並將修改過的或新的網頁發回給最終用戶,這使得非法闖入網路變得更加容易。
許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序,這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性後果。
許多Web應用程序容易受到通過伺服器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火牆安全措施,因為埠80或443(SSL,安全套接字協議層)必須開放,以便讓應用程序正常運行。
Ⅳ 一般資料庫中容易存在哪些問題可以通過什麼途徑來解決這些問題
一般資料庫中容易存在四種問題,分別是:語句錯誤;用戶進程錯誤;網路故障;用戶錯誤。
語句錯誤:單個資料庫操作(選擇、插入、更新或刪除)失敗。可以嘗試在表中輸入無效的數據,與用戶合作來驗證並更改數據。
用戶進程錯誤:用戶非登出的異常退出用戶會話異常終止程序錯誤導致會話結束,對於上述錯誤,實例後台進程 PMON 會自動回滾未提交的事務,並釋放相關鎖資源。
網路故障:與資料庫的連接斷開。通過備份監聽程序、網路連接和網路介面卡可降低出現網路故障時影響系統可用性的可能性。
用戶錯誤:用戶成功完成了操作,但是操作不正確(刪除了表,或輸入了錯誤數據)。用戶可能會無意刪除或修改數據。如果發生這種情況, DBA 可能需要幫助用戶從錯誤中恢,如果用戶尚未提交或退出程序,則只可以回退操作。
Ⅵ 資料庫訪問錯誤,創建新記錄失敗
首先不是很推薦ODBC連接,需要額外配置,建議用OLEDB
你可以嘗試著建立一個擴展名為udl的文件,新建一個文本文件擴展名改為udl即可。
在裡面配置了資料庫連接以後,再用寫字板你就可以看到你直接可以用到的連接字元串了,例如
Provider=SQLOLEDB.1;Password=sa;Persist Security Info=True;User ID=sa;Initial Catalog=master;Data Source=.
Ⅶ SQL server 2005資料庫有什麼優點和缺點
SQL Server 2005的十大最新特性
在商界,每樣東西都在競爭中爭取「更好、更快、更便宜」——SQL Server 2005也提供了很多個新特性來節省精力、時間和金錢。從編程到管理能力,這個版本的SQL Server都優於其他版本的產品,並且它還對SQL Server 2000中已經存在的特性進行了加強。這里我按照它的重要程度列出前十個最重要的新特性。
1、加強的T-SQL (事務處理SQL )
T-SQL 天生就是基於集合的關系型資料庫管理系統編程語言,可以提供高性能的數據訪問。現在,它與許多新的特性相結合,包括通過同時使用TRY和CTACH來進行錯誤處理,可以在語句中返回一個結果集的通用表表達式(CTEs),以及通過PIVOT 和UNPIVOT命令將列轉化為行和將列轉化為行的能力。
2、CLR(Common Language Runtime,通用語言運行時)
SQL Server 2005中的第二個主要的增強特性就是整合了符合.NET規范的語言 ,例如C#, ASP.NET 或者是可以構建對象(存儲過程,觸發器,函數等)的 VB.NET。這一點讓你可以在資料庫管理系統中執行.NET代碼以充分利用.NET功能。它有望在SQL Server 2000環境中取代擴展的存儲過程,同時還擴展了傳統關系型引擎功能。
3、服務代理(Service Broker)
服務代理處理的是以鬆散方式進行聯系的發送者和接收者之間的消息。一個消息被發送、處理和回答,完成整個事務。這大大擴展了數據驅動應用程序的性能,以符合工作流或者客戶業務需求。
4、數據加密
SQL Server 2000沒有用來在表自身加密數據的有文檔記載的或者公共支持的函數。企業需要依賴第三方產品來滿足這個需求。SQL Server 2005自身帶有支持對用戶自定義資料庫中存儲的數據進行加密的功能。
5、SMTP郵件
在SQL Server 2000中直接發送郵件是可能的,但是很復雜。在SQL Server 2005中,微軟通過合並SMTP郵件提高了自身的郵件性能。SQL Server從此跟Outlook說「bye-bye」!
6、HTTP終端
你可以很輕松地通過一個簡單的T-SQL 語句使一個對象可以在網際網路上被訪問,從而創建一個HTTP終端。這允許從網際網路上呼叫一個簡單的對象來獲取需要的數據。
7、多活動結果集(Multiple Active Result Sets ,簡稱MARS)
多活動結果集允許從單個的客戶端到資料庫保持一條持久的連接,以便在每個連接上擁有超過一個的活動請求。這是一個主要的性能改善,它允許開發人員讓用戶在使用SQL Server工作的時候擁有新的能力。例如,它允許多個查詢,或者一個查詢的同時輸入數據。底線就是一個客戶端連接可以同時擁有多個活動的進程。
8、專用管理員連接
如果所有的內容都出錯了,那麼只能關閉SQL Server服務或者按下電源鍵。專用管理員連接結束了這種狀況。這個功能允許資料庫管理員對SQL Server發起單個診斷連接,即使是伺服器正在出現問題。
9、SQL Server綜合服務(SSIS)
SSIS已經作為主要的ETL(抽取、傳輸和載入)工作替代了DTS(數據傳輸服務),並且隨著SQL Server免費發布。這個工具,從SQL Server 2000開始被完全重新編寫,現在已經擁有了很大程度的靈活性,來滿足復雜的數據移動需求。
10、資料庫鏡像
我並沒有指望這個功能會在11月份的RTM 中隨著SQL Server 2005一起發布,但是我認為這個特性具有很大的潛力。資料庫鏡像是本地高可用性能力的擴展。所有,仍然在對更多的細節進行調整……那麼現在,祝福吧。
還有兩項技術不能在SQL Server 2005的前十列表中遺漏的是它的分析服務和報告服務。雖然SQL Server 2005沒有介紹其中的任何一項,但是將它們整合進了SQL Server綜合服務之中,以求微軟的核心商務智能套件的完美。這些技術對於商務智能的成功至關重要。學習新的特性,以及企業如何在實際項目中實現它。
Ⅷ 資料庫連接失敗的原因
問題一:電腦顯示連接資料庫失敗怎樣回事 測試連接資料庫不成功,在保證連接伺服器設置對話框內各項內容填寫正確的條件下。1般出現毛病提示的緣由有以下幾種情況:1、首先看伺服器電腦有無關閉WINDOWS防火牆或瑞星的防火牆2、區域網不通區域網不通就是區域網內各電腦間沒有到達不需要用戶名和密碼的訪問,就是不能相互訪問同享文件,可以通過計算機間能否相互訪問同享文件來判斷區域網是不是暢通。方法在「網上鄰居」的地址欄中輸入「\\」加上要訪問計算機的「記算機名稱或是本地ip地址」然後鏈接(例如\\192.168.0.1),可以訪問說明區域網暢通3、資料庫服務沒有啟動如果是資料庫沒有運行,軟體測試連接一樣也會出現毛病提示。可以在開始菜單------程序----啟動------ServiceManager或是在開始菜單----運行----輸入cmd------回車-----在出現黑屏界面的游標處輸入netstartMSSQLSERVER----回車如果出現提示為「要求的伺服器已啟動」,說明資料庫已在運行了;「服務名無效」說明輸入的命令不正確;「沒法啟動資料庫服務「說明資料庫文件被破壞或是其他緣由造成資料庫服務沒法啟動。 查看原帖>>
問題二:SQL 資料庫連接伺服器失敗 由以下幾個原因:
1.資料庫引擎沒有啟動
有兩種啟動方式:
(1)開始->程序->Microsoft SQL Server 2008->SQL Server 2008外圍應用配置器,在打開的界面單擊服務的連接的外圍應用配置器,在打開的界面中找到Database Engine,單擊服務,在右側查看是否已啟動,如果沒有啟動可單擊啟動,並確保啟動類型為自動,不要為手動,否則下次開機時又要手動啟動;
(2)可打開:開始->程序->Microsoft SQL Server 2008->配置工具->SQL Server Configuration Manager,選中SQL Server 2008服務中SQL Server(MSSQLSERVER) ,並單擊工具欄中的啟動服務按鈕把服務狀態改為啟動;
使用上面兩種方式時,有時候在啟動的時候可能會出現錯誤[/b],不能啟動,這時就要查看SQL Server 2008配置管理器中的SQL Server 2008網路配置->MSSQLSERVER協議中的VIA是否已啟用,如果已啟用,則把它禁止.然後再執行上述一種方式操作就可以了。
2.進行遠程連接時,是否已允許遠程連接.
SQL Server 2008 在默認情況下僅限本地連接.我們可以手動啟用遠程連接.在上面第一種方式中,找到Database Engine,單擊遠程連接,在右側將僅限本地連接(L)改為本地連接和遠程連接(R),並選中同時使用TCP/IP和named pipes(B).
3.如果是遠程連接,則還要查看連接資料庫的語句是否正確,登錄賬戶是否正確,密碼是否正確等.
我在一次區域網內連接資料庫時,就要因為連接字元串出了問題,在區域網內一台機子連接另一台機子上資料庫時,把Data Source=裝有資料庫的另一台機子的IP.我在連接資料庫時總是出現上面的錯誤,查了好長時間,後來發現,IP沒有正確到傳到連接字元串,原來我在連接時,使用的是本地,即127.0.0.1,輸入的IP沒有傳到連接字元串
問題三:資料庫連接失敗 資料庫連接失誤的話,通常應該是以下的幾個原因:
1,沒有資料庫驅動包(jar)
2,如果驅動有了的話,那麼記得把這個包要放到你的classpath所能識別的目錄下面去。
3,如果1,2都沒問題,那麼是否你的資料庫連接賬號不對?檢查你的DB名,User,Password是償正確。
4,如果以上都沒有問題,從你的程序來看是要連接SQLServer, 那麼記得將SQLServer的SP3補丁打上,否則是會有連接問題存在。
如果以上都無法連接成
問題四:連接資料庫錯誤,是什麼原因 你沒有說清楚是什麼軟體,如果軟體需要連接遠程資料庫的話,如果遠程伺服器上面的sql沒有啟動,或者遠程伺服器運行不正常,都可能出現這個提示 如果連接是你本機的資料庫,那你檢查你本機資料庫有沒有啟動,
問題五:為什麼資料庫連接失敗 10分 資料庫連接失敗的原因
懸賞分:20 - 離問題結束有一天22小時
使用Dreamweaver的生產基地,我用aspvb的連接OLE DB訪問資料庫出現HTTP404錯誤,說,伺服器沒有測試伺服器上運行,還有就是為網站指定的測試伺服器沒有被映射到,確保圖像的URL前綴的根,這是它;我用aspvbscript的NET開發環境是不是 BR />哦,你不能做到這一點,下一步去哪裡,希望了解能告訴我
...我不明白...離開
得分。
問題六:資料庫鏈接失敗怎麼辦 一般來說,要查如下步驟:
1. 確認資料庫是否允許遠程連接
2. 確認資料庫服務是否正常啟動
3. 確認資料庫伺服器的防火牆開通
4. 確認客戶端到伺服器網路暢通
5. 確認連接字元串正確,包括:主機名\實例名,埠
6. 確認資料庫是否允許混合登錄方式
問題七:資料庫鏈接失敗怎麼辦 如果你是自己的伺服器,請先檢查用戶名、密碼是否完全正確如果你是空間用戶,請查看資料庫IP和空間IP是否一致,如果不一致,資料庫主機:localhost這里請填寫資料庫的IP,然後檢查用戶名和密碼是否完全正確
問題八:thinkcms資料庫連接失敗什麼原因 應該是ODBC沒有配置好,在控制面板中,找[數據源]設置, 在裡面配置好要連接資料庫的ODBC源,這樣才能連接成功.有錯誤提示的話,才能更准確的找原因.
問題九:易語言SQL資料庫連接失敗的原因 資料庫連接1.連接SQLServer()命令的提示如下:
調用格式: 〈邏輯型〉 對象.連接SQLServer (文本型 伺服器名,文本型 資料庫名,文本型 用戶名,文本型 密碼) - 資料庫操作支持庫->資料庫連接
英文名稱:ConnectSQLServer
連接SQL Server資料庫,如果連接成功返回真,失敗返回假。本命令為初級對象成員命令。
參數的名稱為「伺服器名」,類型為「文本型(text)」。本參數提供 SQL SERVER 伺服器名。
參數的名稱為「資料庫名」,類型為「文本型(text)」。
參數的名稱為「用戶名」,類型為「文本型(text)」。
參數的名稱為「密碼」,類型為「文本型(text)」。
如果返回為假,那麼你要檢查伺服器ip或者名稱是否正確,用戶名和密碼是否填寫對了。你先用一個sql客戶端來登陸sql伺服器看看,如果使用你代碼裡面的伺服器ip,用戶名和密碼有錯誤則是你的參數填寫問題了。你先檢查這個吧。
Ⅸ 軟體處理差
盡管自編碼有了一些進展,但現在開發軟體主要仍然得靠人工。
然而,人非聖賢,孰能無過?因此,我們可以得到一個合理的推測:由人生產出來的產品和服務,必然包含某種形式的缺陷。所以,軟體缺陷不可避免,並且是軟體開發過程的固有部分。
軟體缺陷是邏輯或配置上的錯誤,會導致系統產生我們不期望的行為。
軟體應用程序中的一些主要和常見缺陷包括業務邏輯錯誤、復雜性問題、文件處理問題、封裝問題、數據驗證問題、身份認證和授權錯誤。
常見弱點枚舉 (CWE) 清單描述了常見的軟體和硬體弱點,會導致安全方面的相關問題。 該清單對可能存在的軟體弱點進行了全面分類。
在業務研發過程中,我們通常通過比較內部質量和風險指標以及對需求、規范、標准和截止日期等方面的遵守程度,來衡量和評估軟體質量等級的可接受度。
因此,我們應該可以得到這樣一個結論:軟體質量是主觀的,受業務承諾、高級管理人員的參與情況和組織文化的影響。
軟體開發中一個重要的關注點涉及到在預算、進度、范圍、質量和安全性這些方面之間保持適當的平衡。一個方面的變化會影響其他方面。雖然都不希望改變計劃,但這在軟體開發生命周期中並不少見。這些場景反映了組織為了控制預算和進度,不得不在軟體質量和安全性方面做出妥協。
軟體質量並不總是軟體的安全性指標。軟體安全性的衡量標准,是在測試期間和生產部署之後發現的漏洞數量。軟體漏洞是一類軟體缺陷,潛在的攻擊者經常利用這些漏洞,繞過授權,訪問計算機系統或執行操作。有時,授權的用戶也會出於惡意,利用系統中這些未修補的已知漏洞。
這些用戶還可能會輸入不能通過校驗的數據,無意中利用了軟體漏洞,從而損害數據完整性和使用這些數據的功能的可靠性。對漏洞的利用會針對下面三個安全支柱中的一個或多個:機密性、完整性和可用性,它們通常稱為 CIA 三元組。
機密性指保護數據在未經授權時不會被泄漏;完整性指保護數據在未經授權時不會被修改,以保證數據的真實性;可用性指系統在需要時可供授權用戶使用,並拒絕未經授權的用戶訪問。了解軟體錯誤和漏洞之間的區別,是為創建安全的軟體和及時減少缺陷和漏洞的整體戰略的關鍵。
軟體漏洞
現在已公布的漏洞利用行為,以及OWASP十大、MITRE常見漏洞和暴露 (CVE) 列表、美國國家漏洞資料庫和其他來源提供的見解都在講軟體漏洞。總體而言,這些信息強調了技術創新如何打破了所需的平衡,我們可以根據這些信息採取更有效的措施,在產品部署之前更好地檢測和減少軟體漏洞。
軟體安全瑕疵越來越多,影響最大的因素是我們對軟體安全性不思進取的態度、在軟體安全性方面缺乏有效的最佳實踐、軟體開發人員和潛在攻擊者之間的知識差異以及不安全的遺留軟體。
由於威脅在不斷變化,因此,在安全方面與時俱進的態度對於達成軟體安全性很有必要。組織在開發和部署軟體時,如果對安全的態度原地踏步,有可能會把內部合規跟有效、安全的軟體開發周期過程混為一談;對不斷發展的威脅向量認識不足;從而無意中增加客戶在各方面的風險。安全策略一成不變,只依賴內部合規來證明開發的軟體很安全,這是短視的行為。
隨著時間的推移,這種依賴性將導致利益相關者對組織開發安全軟體的能力產生盲目的信心,並降低軟體開發團隊充分審查和應對不斷變化的威脅的能力。若我所料不差,這些組織很可能沒有有效的補丁管理程序,也沒有在產品或解決方案實施過程中集成軟體安全方面的設計原則。他們也不太可能添加安全相關場景的測試套件,或將軟體安全的最佳實踐納入軟體開發流程。
想要研發安全的軟體,在研發生命周期中就應該應用軟體安全方面的最佳實踐。最佳實踐涵蓋安全設計原則、編碼、測試、工具以及針對開發人員和測試人員的培訓,有助於在將產品和解決方案部署到生產環境之前主動檢測和修復漏洞。在合適的情況下,應用「故障安全」、「最小許可權」、「深度防禦」和「職責分離」等安全設計原則,可以增強應用程序的安全性。此外,還必須優先對開發人員和測試人員進行軟體安全性方面的常規培訓。
軟體開發人員和潛在攻擊者之間的知識差距正在擴大。這種現象的原因不盡相同,其中一些原因是心態、主要關注領域不同和缺乏學習機會。此外,一些軟體開發人員對系統妥協持零和態度。這種心態與深度防禦的安全設計原則背道而馳,並認為網路和設備漏洞實際上是「天國的鑰匙」事件(譯註:keys-to-the-kingdom,基督教典故,此處是指通過漏洞獲得極大許可權是漏洞發現者應得的)。因此,他們認為試圖盡量減少妥協是徒勞的。有許多被爆出來的系統數據泄露事件,正是這種心態引發的後果,它們因缺少安全性或分層安全性不足,導致未加密的個人數據被盜。
這種「零和」心態,無意中助長了潛在攻擊者通過各種技術深入到網路中進一步破壞生態系統的能力,從而可能獲得對包含個人和業務數據的其他系統的訪問許可權。仔細審查代碼是常見的深度防禦措施,但一些軟體開發人員未能有效利用。這些開發人員完全依賴自動代碼掃描工具,而沒有審查代碼,或者只是粗略地審查代碼。使用自動代碼掃描工具並仔細審查代碼才是一種有效的深度防禦策略,可以在解決方案或產品部署到生產環境之前檢測出漏洞。
軟體開發人員和潛在攻擊者有不同的優先順序和重點領域。軟體開發人員的重點領域包括實現業務邏輯;修復軟體缺陷以滿足質量要求;確保他們實施的功能或解決方案滿足內部實用性、可用性和性能指標或服務水平協議 (SLA) 中的指標。顯而易見,軟體開發人員會在其主要關注領域獲得專業知識。而潛在攻擊者主要關注領域包括系統和軟體行為分析,他們不斷磨練技能以增加收入、滿足好奇心、實現工具集、偵察和探索。所以同樣地,潛在攻擊者在其關注領域里也能獲得專業知識。
潛在攻擊者和軟體開發人員之間的技能差異,讓組織需要在軟體安全方面持續地對軟體開發人員進行培訓。軟體開發人員還必須了解當前的和不斷拓展的攻擊向量,並了解軟體攻擊面的概念,以避免在軟體實現和修改過程中誤入雷區。此外,軟體開發人員必須轉變觀念,將軟體安全原則和最佳實踐納入到軟體開發生命周期中,它們與功能實現具有同等優先順序。
在開發現在被稱為「遺留」軟體的那些年裡,功能實現通常有最高優先順序。對於許多軟體供應商而言,軟體安全跟功能的優先順序不同,而且不是軟體開發流程的一部分。在這種優先順序安排以及威脅形勢不斷增長的長期影響下,其結果就是現在「遺留」軟體中那些漏洞會被人發現和利用。為什麼優先考慮功能實現,原因各不相同。
競爭、上市時間問題以及對軟體安全缺乏關注,是組織不能遵循軟體安全最佳實踐和維持軟體安全開發流程的主要原因。某些組織為了更好地保護「遺留」軟體,給它們分配了資金和資源,在所需功能的實現上做出犧牲;並且由於持續關注在「遺留」軟體的保護上,可能會喪失潛在的競爭優勢。而其他組織通過檢查軟體漏洞來主動評估其「遺留」系統。盡管如此,在代碼庫被完全修補、升級到最新最安全或被廢棄之前,遺留軟體都將是漏洞利用方面的沃土。
結論
軟體是潛在攻擊者最常用的攻擊媒介之一。因此,許多組織意識到,為了實現和維護安全的軟體開發流程和基礎架構,盡職盡責的調查非常重要。這些組織獨立而又協同地為推進網路和軟體安全領域的防禦策略做出貢獻。企業貢獻包括:創建描述網路攻擊階段的安全模型和框架(例如洛克希德馬丁公司的網路殺傷鏈),從而使組織能夠規劃相應的緩解措施;設立賞金計劃,獎勵查找漏洞,讓安全研究人員和其他人可以因發現可利用的軟體缺陷而掙到錢;對開源網路安全工具集的貢獻;編寫應用程序安全白皮書,描述最佳實踐並促進軟體安全向開發-安全-運維(DevSecOps)自然過渡。
不斷發展的軟體攻擊向量使得我們不可能在生產部署之前消除所有軟體漏洞。盡管如此,軟體開發人員還是必須持續學習軟體安全開發。也有人正關注於使用機器學習來檢測軟體漏洞,這將有助於更快、更有效地檢測軟體漏洞。然而,這種在專業領域採用機器學習的結果是否符合預期,目前還不確定。與此同時,各組織還是必須繼續在同一戰線上持續投入,共同抗衡潛在攻擊者。
Ⅹ 資料庫連接不成功,錯誤號:-2147024770,錯誤描述:automation 錯誤。
關於Automation錯誤的成因也是多方面的,最多的是支持軟體如:WINDOWS文件、系統控制項等,都有可能導致問題的出現。當然,K/3自身的問題也存在。Automation錯誤,是系統無法捕獲的錯誤,根據以前遇到此問題的經驗,通常有以下幾種可能:1、客戶端的MDAC程序出現問題,通過安裝MDAC2.8來解決;2、伺服器的MSDTC沒有正常啟動,或啟動用戶的許可權有問題,請檢查組件服務中的MSDTC並使用具有啟動許可權的用戶來啟動;3、客戶端的分布式DCOM沒有正常啟動,請檢查客戶端的DCOM配置屬性中是否選擇上「在本機啟用分布式COM」選項。4、客戶端或伺服器中安裝了相應的防火牆,截斷了客戶端與伺服器的DCOM訪問,比如XPSP2的內置防火牆設置、個人防火牆軟體關閉了135和1024以上的埠,都會造成此問題。5、客戶端或伺服器安裝某防病毒軟體與K3的DCOM訪問存在沖突,如瑞星等。6、客戶端的組件沒有正常注冊,請使用TS0026補丁工具進行注冊,下載地址: http://www.kingdee.com:8080/download/agentdown/tech/ts0026.rar7、我們所遇到的多是在卸載其他軟體後出現的(如用友的軟體,等等),估計很可能是系統文件或公用文件受到損壞所致。所以也建議朋友們盡量保持系統文件的清潔,防止卸載文件導致錯誤。