Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

5. Выявление прав пользователей (user rights) в базе данных

Администратору безопасности полезно иметь общую сводку прав отдельных или даже всех пользователей базы данных. Права включают прямые системные и объектные привилегии, эти же привилегии, но даваемые пользователям через роли, наконец, роли, назначенные пользователям.

Для получения такой информации в AppDetectivePro предусмотрена утилита UserRights (запуск ее показан рис. 6.40).

Рис. 6.40. Запуск утилиты UserRights

Для запуска утилиты предлагается окно выбора сервера (рис. 6.41).

Рис. 6.41. Окно выбора сервера

151

Затем необходимо в появившемся окне процесса проверки прав пользователей (рис. 6.42) нажать мышкой на строку

(Username=)(Password=).

Рис. 6.42. Окно процесса проверки прав пользователей со строкой (Username=)(Password=)

После нажатия на строку «(Username=)(Password=)» появляется окно для ввода имени пользователя, пароля и типа пользователя

(рис. 6.43).

Рис. 6.43. Окно для аутентификации пользователя

Для проверки соединения справа вверху (см. рис. 6.43) надо нажать кнопку «Test DB Connect». После чего надо получить подтверждение успешной аутентификации (рис. 6.44).

152

Рис. 6.44. Экран подтверждения аутентификации

После проверки аккаунтов анализируемого пользователя надо нажать две разные кнопки «OK» и выйти к готовому к запуску окну процесса проверки прав пользователя (рис. 6.45).

Рис. 6.45. Окно процесса проверки прав пользователя (SYS), готового к запуску

На рис. 6.46 показано промежуточное состояние процесса проверки прав пользователя SYS. В ходе работы в этом окне показывается число учтенных объектов пользователя и общее число этих объектов (таблиц, представлений, процедур и т.д.).

153

Рис. 6.46. Промежуточное состояние процесса проверки прав пользователя (SYS)

В ходе работы утилиты User Rights процесс проверки сопровождается появлением окон проверки объектов выбранного пользователя (см. рис. 6.46), всех столбцов (таблиц и представлений) этого пользователя (рис. 6.47), объектных привилегий пользователя (рис. 6.48), ролей (и входящих в них привилегий), принадлежащих данному пользователю (рис. 6.49).

Рис. 6.47. Проверка прав пользователя SYS по работе со столбцами таблиц и представлений

154

Рис. 6.48. Проверка объектных привилегий пользователя SYS

Рис. 6.49. Проверка ролей пользователя SYS

Результат работы утилиты UserRights можно просмотреть в от-

четах AppDetectivePro.

6. Формированиеотчетовпорезультатамвыявления уязвимостейбазы данных посредством AppDetectivePro

Работа с утилитой «Report» начинается с нажатия на кнопку

«Report» в главном меню AppDetectivePro (рис. 6.50). На рисунке видна возможность выбора в формировании отчета отдельно для

Audit и PenTest, отдельно для проверки UserRights.

155