Форум программистов, компьютерный форум, киберфорум
Наши страницы
Oracle
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.63/32: Рейтинг темы: голосов - 32, средняя оценка - 4.63
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
1

Конфиденциальная информация

11.05.2012, 11:42. Просмотров 5747. Ответов 31
Метки нет (Все метки)

Есть некоторая база данных и некоторое множество пользователей имеющих разные привелегии доступа в этой БД. Соответсвенно от пользователей с низким уровнем привелегий будет скрыта некоторая информация. Так вот, с помощью построения запросов особым образом и путем некоторых логических рассуждений эту информацию из базы данных можно получить. Кто-нибудь может привести пример?
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
11.05.2012, 11:42
Ответы с готовыми решениями:

Нужна любая информация
Люди нужна инфа, желательно на русском но можно и на англицком. По двум темам:...

Информация о пользовательских типах
Есть необходимость получить всю информацию о типах, созданным пользователем....

Общая информация Oracle
Здравствуйте! Подскажите, где можно найти хорошую информацию о принципах работы...

Каким образом хранится информация в БД
С помощью графов? Препод не смог что-то внятное сказать. Гугл дает...

RDP на сервер. Конфиденциальная информация и безопасность
Здравствуйте, уважаемые форумчане! Попал в неприятную ситуацию. Помогите...

31
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
13.05.2012, 20:44 2
Что за галлюцинаторный бред?
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
13.05.2012, 21:04  [ТС] 3
Что конкретно тебе не ясно в посталенном вопросе? Я объясню.
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
13.05.2012, 21:13 4
Цитата Сообщение от VIP_84
Что конкретно тебе не ясно в посталенном вопросе? Я объясню.
Неясно все. Будь любезен с самого начала и членораздельно.
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
14.05.2012, 15:38  [ТС] 5
В общем, я хочу знать как с помошью логического вывода получить информациюю из БД, которая скрыта от меня как от непривилегированного пользователя?
0
Dederer
0 / 0 / 1
Регистрация: 29.05.2009
Сообщений: 52
14.05.2012, 18:08 6
:^) а ключи от квартиры, где деньги лежат не хочешь?

На то оно и есть разграничение прав доступа, чтобы не иметь доступа.
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
14.05.2012, 20:14 7
Цитата Сообщение от VIP_84
В общем, я хочу знать как с помошью логического вывода получить информациюю из БД, которая скрыта от меня как от непривилегированного пользователя?
Куча способов. Выбирай любой.
1. Ставишь закладку на машину привелегированного пользователя и снимаешь скэн-коды клавиш. После чего входишь под пользователем и получаешь информацию.
2. То же, но с использованием сетевых нюхачей.
3. Попроси или выполни сам во время отлучки админа команду grant alter user to <твое_мерзкое_имя>
После чего приходи и мы тебе дадим следующие рекомендации.
4. На консоли сервера набираешь svrmgrl, потом connect internal, потом grant alter user to <твое_мерзкое_имя> или, еще лучше, grant dba to <твое_мерзкое_имя>.
5.
6.
7.
Способов масса. Денег дашь?
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
14.05.2012, 22:06  [ТС] 8
Нет, ты не понял, именно под своим пользователем можно получить информацию путем логического вывода. Посмотри ссылочку http://kiev-security.org.ua/box/2/89.shtml там описывается как защититься от такого вывода, а мне нужно увидеть пример получения информации подобным способом.
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
14.05.2012, 23:15 9
Цитата Сообщение от VIP_84
Нет, ты не понял, именно под своим пользователем можно получить информацию путем логического вывода. Посмотри ссылочку http://kiev-security.org.ua/box/2/89.shtml там описывается как защититься от такого вывода, а мне нужно увидеть пример получения информации подобным способом.
Нет, ты не понял, именно под своим пользователем можно войти в базу, используя описаные мной методы. Выполняй вышеописанные действия и получишь дальнейшие рекомендации. "Что конкретно тебе не ясно в посталенном вопросе?"
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
14.05.2012, 23:58  [ТС] 10
Нет, это всё-таки ты не понял)) Я с ума тут сойду пока смогу объяснить что мне надо Все описанные выше методы не подразумевают получения информации путем ЛОГИЧЕСКОГО ВЫВОДА, у меня стоит задача изучить именно ЛОГИЧЕСКИЙ ВЫВОД, а он не подразумевает изменения привилегий пользователей и установки различного рода закладок. Ты прочитал статью, на которую я дал ссылку? Если бы прочитал, то должен был бы понять, что мне от тебя нужно
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
15.05.2012, 12:29 11
Цитата Сообщение от VIP_84
Нет, это всё-таки ты не понял)) Я с ума тут сойду пока смогу объяснить что мне надо Все описанные выше методы не подразумевают получения информации путем ЛОГИЧЕСКОГО ВЫВОДА, у меня стоит задача изучить именно ЛОГИЧЕСКИЙ ВЫВОД, а он не подразумевает изменения привилегий пользователей и установки различного рода закладок. Ты прочитал статью, на которую я дал ссылку? Если бы прочитал, то должен был бы понять, что мне от тебя нужно
Лень читать. Расскажи чо там? Кстати, ты девочка или мальчик?
0
VladConn
2 / 2 / 3
Регистрация: 17.10.2007
Сообщений: 1,119
15.05.2012, 16:16 12
VIP_84,

Da, takoe v principe ochen' dazhe vozmozhno. Vot tebe kluch k poisku:
"SQL Injection". Zdes', pravda na primere SQL Servera, privodyatsya primeri:

http://www.nextgenss.com/papers/advanced_sql_injection.pdf

vladconn
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
15.05.2012, 18:48  [ТС] 13
Девочкой меня назвать очень сложно и даже невозможно Я молодой парень, мне 21 год (если вдруг кто-то не догадался) Но дело не в возрасте и не в поле... У меня горит курсовая работа!!! В интернете практически ничего про мою тему не написано, а всё что написано, я уже перечитал
VladConn'у спасибо, про этот медот я уже слышал, но статью обязательно изучу.
TerraIBM, я уже давно пытаюсь объяснить тебе, что мне надо, но всё никак не получается, поэтому думаю, что если я расскажу тебе что написано в той статье, то ты снова меня не поймешь, так что лучше тебе прочитать самому, возможно ты узнаешь для себя нечто новое тем более там не так уж и много надо читать, за 5-10 минут управишься.
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
15.05.2012, 21:31 14
Цитата Сообщение от VIP_84
Девочкой меня назвать очень сложно и даже невозможно Я молодой парень, мне 21 год (если вдруг кто-то не догадался) Но дело не в возрасте и не в поле... У меня горит курсовая работа!!! В интернете практически ничего про мою тему не написано, а всё что написано, я уже перечитал
VladConn'у спасибо, про этот медот я уже слышал, но статью обязательно изучу.
TerraIBM, я уже давно пытаюсь объяснить тебе, что мне надо, но всё никак не получается, поэтому думаю, что если я расскажу тебе что написано в той статье, то ты снова меня не поймешь, так что лучше тебе прочитать самому, возможно ты узнаешь для себя нечто новое тем более там не так уж и много надо читать, за 5-10 минут управишься.
Да ладно тебе. Ломаешься тут. Объясняй давай.
Видишь ли мой
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
15.05.2012, 21:33 15
...юный друг. В данном случае, тебе надо делать что тебе говорят не думая. Иначе погрязнешь в догадках и недоумении. Объясняя мне ты поймешь сам. Это метода такая. Я пытаюсь тебя воспитать, а ты кочевряжишься.
0
VladConn
2 / 2 / 3
Регистрация: 17.10.2007
Сообщений: 1,119
15.05.2012, 22:38 16
Кошмар
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
16.05.2012, 01:12  [ТС] 17
Ну, TerraIBM, читай....
Если информация, получаемая на основе конфиденциальных данных,
предназначена для широкого использования, то требуют изменений
правила управления потоком передаваемых данных. Это относится в
первую очередь к статистическим базам и банкам данных, которые
содержат конфиденциальную информацию об индивидуумах,
используемую для формирования различных статистических сводок.
Особенность ситуации состоит в том, что сводки содержат
"отголоски" исходной конфиденциальной информации, и весьма
настойчивый пользователь можетее восстановить. Когда информация
касается некоторого конкретного индивидуума, процедура
восстановления оказывается посягательством на его личную тайну.
Поэтому одна из задач процедур вывода состоит в том, чтобы
стоимость восстановления конфиденциальной информации была
исключительно высокой. Допустим, что при формировании запроса
пользователь задает некоторую формулу С, использующую логические
операторы (AND,OR,NOT). Множество записей, удовлетворяющих
формуле С, называется множеством запросов формулы С. Результатом
программы обработки запросов могут быть следующие величины: число
записей, сумма значений записей или некоторая характеристика
величины - максимум или медиана. Запись считается
скомпрометированной, если пользователь, формирующий запрос, может
определить значение конфиденциальной величины, сравнивая ответы
на запросы и используя любую априорную информацию. Компрометация
заключается в выявлении интересующей записи на основе
перекрестных запросов; искажение ответа путем округления или
некоторой преднамеренной коррекции данных; контроль обращения
только к случайным записям. Если пользователь имеет возможность
контролировать все ответы на запросы и ответы при этом не
искажаются, вероятность компрометации записи и доступа к данным
чрезвычайно высока. Пользователь определяет некоторую формулу С,
принадлежащую множеству запросов, и присваиваетей номер 1. Затем
он может выявить, обладает ли выявленный индивидуум
характеристикой Х, сформировав запрос: "Сколько индивидуумов
удовлетворяют одновременно условиям C AND X?"
Кстати, ты парень или девушка? VladConn уже в ужасе)) Я сам скоро с ума сойду
0
VladConn
2 / 2 / 3
Регистрация: 17.10.2007
Сообщений: 1,119
16.05.2012, 01:29 18
VIP_84,

Если говорить о построении запросов, то почему обязательно "или". Тогда уж и "и". Если присоединяться к этому сумасшедшему рестилищу, то давай и мы спросим: "Ты парень и девушка? И не кочевряжься!"

Как раз в тему и этично. Мне интересно, сколько минут, даже не часов, продержался б у нас в корпорации такой составитель запросов.

VladConn
0
TerraIBM
0 / 0 / 0
Регистрация: 04.05.2012
Сообщений: 21
16.05.2012, 14:12 19
Итак. Активнее друзья. Еще немного и мы наконец сведем с ума уважаемого VIP_84. И тогда он уничтожит документацию, испортит базу данных и так далеее... и у нас появятся интересные задачи от его работодателей.
0
VIP_84
0 / 0 / 0
Регистрация: 11.05.2012
Сообщений: 13
16.05.2012, 15:35  [ТС] 20
Ха.... информацию о работодателях вы точно никакой не получите, потому что я обычный студент, нигде не работающий, и мне всего лишь нужно написать курсовую работу, которую за меня никто не напишет. И если уж вы ничего не можете сказать по этому поводу, то я уже не знаю на какой форум мне еще можно зайти, чтобы задать тот же глупый вопрос, который задаю вам я.
0
16.05.2012, 15:35
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.05.2012, 15:35

Написать программу- вводная информация в файле in.txt, выходная информация в out.txt
Написать программу- вводная информация в файле in.txt, выходная информация в...

Информация БД
Добрый день всем. Подскажите уважаемые програмисты как извлеч информацию...

Информация
Привет, на днях купил ноутбук dell insprion 7110 харак. такие : ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru