Iis 已上载access数据库-正在运行SSIS和病毒漏洞
我已经创建了一个过程,(注册)用户可以(在客户端和服务器端验证之后)通过asp.net webform将(压缩了一个非常罕见的扩展)access数据库上载到我的服务器,该数据库将位于一个很好的安全位置,直到晚上出现一个计划的SSIS包,将相关数据从access db流到sql server 之后,我的访问数据库被删除。该数据库将不会有其他执行。服务器上未安装Access 当然,我已经做了研究,但我是否引入了SSI可能触发的漏洞(例如access db中的脚本?)Iis 已上载access数据库-正在运行SSIS和病毒漏洞,iis,ms-access,ssis,virus,Iis,Ms Access,Ssis,Virus,我已经创建了一个过程,(注册)用户可以(在客户端和服务器端验证之后)通过asp.net webform将(压缩了一个非常罕见的扩展)access数据库上载到我的服务器,该数据库将位于一个很好的安全位置,直到晚上出现一个计划的SSIS包,将相关数据从access db流到sql server 之后,我的访问数据库被删除。该数据库将不会有其他执行。服务器上未安装Access 当然,我已经做了研究,但我是否引入了SSI可能触发的漏洞(例如access db中的脚本?) 提前感谢。SSIS可能使用ODB
提前感谢。SSIS可能使用ODBC或OLEDB访问Access/Jet/ACE数据库中的数据,因此没有任何代码可以执行——ODBC和OLEDB只知道数据,SQL语句中可能执行的所有危险函数都被阻止 所以,如果没有安装接入,这里就没有真正的危险。如果您担心存在,可以在打开文件之前使用DAO处理该文件,并删除QueryDefs集合和Modules文档集合中的所有内容。或者,您可以使用缓冲区数据库,在该数据库中只导入数据表,然后将其传递给SSI 但我并不认为SSIS只关注数据表
顺便说一句,从来没有任何病毒或漏洞通过访问传播过,因此对访问漏洞的担忧被大大夸大了(因此,对于最终用户来说,由于宏被阻止、沙箱模式以及从2007年开始,需要定义可信位置,这都是非常不方便的)SSI可能使用ODBC或OLEDB来访问Access/Jet/ACE数据库中的数据,因此没有任何代码可以执行——ODBC和OLEDB除了数据什么都不知道,SQL语句中可能执行的所有危险函数都被阻止 所以,如果没有安装接入,这里就没有真正的危险。如果您担心存在,可以在打开文件之前使用DAO处理该文件,并删除QueryDefs集合和Modules文档集合中的所有内容。或者,您可以使用缓冲区数据库,在该数据库中只导入数据表,然后将其传递给SSI 但我并不认为SSIS只关注数据表 顺便说一句,从来没有任何病毒或漏洞通过访问传播过,因此对访问漏洞的担忧被大大夸大了(因此,对于最终用户来说,由于宏被阻止、沙盒模式以及从2007年开始,需要定义可信位置,这都非常不方便)。我同意David的观点(虽然使用“从不”这个词总是很危险的)但是,你可以考虑的另一件事是在上传之前把数据库拉链的人用每个用户特有的密码将加密应用到zip文件。 实际的加密不一定非得特别强大,即使这样,但如果您的通信遭到黑客攻击也会有所帮助:关键是它可以用来识别发起访问上传的人。如果SSIS进程尝试依次使用每个已知密码打开它,但所有密码都失败了,那么包可以n被认为是由未经授权的人员引入系统,因此有嫌疑 这不是为了防止恶意代码,而是为了防止恶意数据进入您的系统 嗯
迈克
< p>我同意戴维(尽管使用“从不”这个词总是危险的)。你可以考虑的另一件事是在上传之前将数据库拉链的人用每个用户特有的密码将加密应用到zip文件。 实际的加密不一定非得特别强大,即使这样,但如果您的通信遭到黑客攻击也会有所帮助:关键是它可以用来识别发起访问上传的人。如果SSIS进程尝试依次使用每个已知密码打开它,但所有密码都失败了,那么包可以n被认为是由未经授权的人员引入系统,因此有嫌疑 这不是为了防止恶意代码,而是为了防止恶意数据进入您的系统 嗯 迈克