WIKI SGBD

Get Started. It's Free
or sign up with your email address
Rocket clouds
WIKI SGBD by Mind Map: WIKI SGBD

1. Introduction

1.1. Call Manager

2. Différence BD et SGBD

2.1. Schéma SGBD

2.1.1. Conceptuel

2.1.2. Logique

2.1.3. Interne

2.1.4. Externe

2.1.5. Physique

3. Conclusion

4. Tendances

4.1. Base de Données en temps réel

5. Description techno

5.1. Comprendre

5.1.1. Architecture

5.1.1.1. Métadonnées

5.1.1.1.1. Schéma conceptuel

5.1.1.1.2. Schéma interne

5.1.1.1.3. Schéma externe

5.1.1.2. Dictionnaire

5.1.2. Structure

5.1.2.1. Hiéarchique

5.1.2.2. données en réseau

5.1.2.3. relationnelle

5.2. Fonctionnalités

5.2.1. Contrôles

5.2.1.1. Disponibilité

5.2.1.1.1. stockage

5.2.1.1.2. performance

5.2.1.2. Intégrité

5.2.1.2.1. qualité

5.2.1.3. Confidentialité

5.2.1.3.1. accès

5.3. Stockage

6. Équipe

6.1. Roger Dion

6.2. Mario Bouchard

6.3. Louis-René Gagnon

6.4. Guylaine Provençal

7. Sécurité

7.1. Catégorisation

7.1.1. Audit

7.1.1.1. Gestion des coûts

7.1.1.1.1. Processus de vérification

7.1.1.1.2. Processus de maintenance

7.1.1.1.3. Processus de développement

7.1.1.1.4. Individus

7.1.1.1.5. Technologies

7.1.1.2. Gestion des menaces

7.1.1.3. Gestion des risques

7.1.1.3.1. Accepter le risque

7.1.1.3.2. Évaluer le risque

7.1.1.3.3. Journalisation

7.1.1.4. Gestion des Incidents

7.2. Télécommunication

7.2.1. Emplacement sur le réseau

7.2.1.1. Selon catégorisation des informations

7.2.2. Ports de communication

7.2.3. Instances chiffrées

7.2.3.1. SSL

7.2.4. Mécanismes d'authentification

7.2.4.1. Authentification SQL

7.2.4.1.1. Compte et mot de passe conservés dans SQL

7.2.4.1.2. En texte clair - besoin d'une instance sécurisée pour protéger les informations d'authentification

7.2.4.2. Authentification Windows Intégrée

7.2.4.2.1. SQL Server seulement

7.3. Piratage informatique

7.3.1. Par injection SQL

7.3.1.1. C'est quoi?

7.3.1.1.1. Un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

7.3.1.2. Pourquoi?

7.3.1.2.1. Une personne mailveillante peut saisir des commandes SQL dans le champ de saisie d'une application vulnérable. Parce que l'application ne valide pas correctement les informations saisies, elles sont considérées comme des commandes SQL valides par le moteur de la base de données et sont exécutées comme tel

7.3.1.3. Impacts

7.3.1.3.1. Disponibilité

7.3.1.3.2. Intégrité

7.3.1.3.3. Confidentialité

7.3.1.4. Mesures

7.3.1.4.1. Règle no 1 du développement sécuritaire : Ne jamais faire confiance aux utilisateurs!

7.3.1.4.2. Valider toutes les entrées

7.3.1.5. Outils

7.3.1.5.1. Fiddler

7.3.1.5.2. OWASP Webgoat

7.3.1.5.3. SQLNinja

7.3.1.5.4. SQLMap

7.3.1.5.5. Site de vidéos et de démonstrations

7.3.2. Par prise de possession du serveur

7.3.2.1. Si faiblesse ou mauvaise configuration au niveau du système d'exploitation ou du service SQL

7.3.2.1.1. Mots de passe par défaut

7.3.2.1.2. Exécution du service SQL avec un compte à privilèges élevés

7.3.2.2. Mesures

7.3.2.2.1. Renforcir la sécurité du système d'exploitation et du service SQL

7.3.2.2.2. Réduire la surface d'attaque du serveur

7.3.3. Par interception des communications

7.3.3.1. Les communications SQL peuvent être interceptées car elles sont en texte clair

7.3.3.1.1. Interception de données

7.3.3.1.2. Interception d'informations d'authentification

7.3.3.2. Mesures

7.3.3.2.1. Utiliser un mécanisme d'authentification reconnu

7.3.3.2.2. Utiliser SSL pour chiffrer le transport des informations

7.3.4. Par interception des données en stockage

7.3.4.1. Chiffrement de la BD?

7.3.4.2. Contrôle d'accès

7.3.4.3. Journalisation

7.3.4.4. Processus de surveillance

7.3.5. Par l'interception d'erreurs détaillées

7.3.5.1. Pour obtenir le nom des bases de données, tables et métadonnées

7.3.5.2. Prérequis

7.3.5.2.1. Faille d'injection SQL dans l'application web

7.3.5.2.2. l'affichage d'erreurs détaillées doit être configuré. Habituellement dans un environnement de production, ce scénario n'est pas recommandé

7.3.5.2.3. Permet d'obtenir le nom des tables et les métadonnées de la base de données

7.3.5.3. Selon le standard ANSI SQL, les bases de données doivent fournir un schéma d'informations qui contient des metadata sur la base de données

7.3.5.4. Pour obtenir le schéma

7.3.5.4.1. SQL Server

7.3.5.4.2. ORACLE & MySQL

7.3.5.5. Injectée dans une requête

7.3.5.5.1. SELECT FirstName, LastName FROM Salesperson WHERE State='' UNION SELECT Table_Name, ' ' FROM INFORMATION_SCHEMA.Tables; --'

7.3.5.6. Mesures

7.3.5.6.1. Ne pas afficher d'erreurs détaillées en production

7.3.5.6.2. Ne pas afficher de commentaires ou d'informations de déboguage dans le code de production

7.3.6. Injection SQL à l'aveugle (Blind SQL Injection)

7.3.6.1. Plus facile avec des messages d'erreurs détaillés mais pas nécessaires

7.3.6.2. Possible d'automatiser avec les outils

7.3.7. Mesures

7.3.7.1. Valider s'il y a des caractères reconnus dans la syntaxe d'une commande SQL

7.3.7.2. Encode ou escape the user input to ensure that data is always interpreted as data

8. Décrire le fonctionnement

9. PRP Protection des renseignements personnels