Optimizacion seguridad y permisos en Sql Server 2000.

@padawan@ · #1 (**permalink**) 25/06/2008, 13:30

Me delegaron un sitio web para optimizar en cuanto a programacion y seguridad en la base de datos, el sitio esta construido en asp clasico y bd sql server 2000, el problema era que estuvo siendo atacado por sql injection, he cerrado todas las puertas a nivel de programacion, pero como no tengo tantos conocimientos sobre seguridad en sql server, quisiera que me den algunos consejos y de paso les tiro algo de informacion asi me pueden dar una mano.

Info:
Todas las tablas tienen de owner a "dbo" yo me pregunto es recomendable esto? o deberia cambiarle el owner a las tablas por otro usuario que no tenga tantos atributos.

Los atributos de dbo son:
public
db_owner

me fije en permisos y tiene todos los permisos para todas las tablas

Tengo otro usuario propio pero solo sirve para conectarse a la base de datos mediante odbc u oledb provider, solo sirve para el script de la cadena de conexion nada mas.

ME pregunto yo, deberia ser este usuario el owner de todas las tablas que se utilizen en el sitio web? que permisos deberia asignarle para que sea lo mas seguro posible.

Espero me puedan dar una mano, desde muchas gracias.

iislas · #2 (**permalink**) 25/06/2008, 18:13

Mis comentarios

"Todas las tablas tienen de owner a "dbo"

R= Esto deberia ser SIEMPRE ASI, aunque hay gentes que le ponen su propio usuario.

DBO, es un ROL, por lo tanto que tenga los atributos de public y db_owner, ES 100% CORRECTO.

El usuario que utiliza para conectarse, ¿Que atributos, roles o permisos tiene?

En cuanto a la INYECCION DE CODIGO, debe resolverse en la capa front (aplicativos)

@padawan@ · #3 (**permalink**) 25/06/2008, 20:54

Cita:

Iniciado por iislas

Mis comentarios

"Todas las tablas tienen de owner a "dbo"

R= Esto deberia ser SIEMPRE ASI, aunque hay gentes que le ponen su propio usuario.

DBO, es un ROL, por lo tanto que tenga los atributos de public y db_owner, ES 100% CORRECTO.

El usuario que utiliza para conectarse, ¿Que atributos, roles o permisos tiene?

En cuanto a la INYECCION DE CODIGO, debe resolverse en la capa front (aplicativos)

Muchisimas gracias por tus comentarios, me son de gran ayuda.

El usuario que uso para conectarme tiene los atributos public y db_owner al igual que dbo pero no tiene permisos de acceso ya sea de escritura, lectura, modificacion de la mayoria de las tablas que son consultadas desde el sitio web.

COn respecto a la inyeccio de codigo, definitivamente esto lo trate de resolver en las paginas asp, ya existia cierto control y restriccion a caracteres de sintaxis sql, ahora realice funciones de controles mas exaustivos, pero al parecer no es suficiente o bien no es todo lo que debo hacer.

Que mas puedo hacer?