SQL Server有很多很好用的小功能,但是有時候這些功能反過來給你制造麻煩。其中一個這樣的問題是別名用戶的使用。本技巧教你如何在數據庫中建立別名用戶時找到安全漏洞,不過在SQL Server 2008種不推薦這個功能。
首先,你可以對每個數據庫運行下面的簡單查詢或者針對所有數據庫操作它來運行以便找到帶有“dbo”訪問權限的用戶。
SELECT DISTINCT DB_NAME() DATABASE_NAME,
SU.NAME DATABASE_USERNAME
FROM SYSUSERS SU
JOIN SYSMEMBERS SM
ON SM.MEMBERUID = SU.UID
INNER JOIN SYSMEMBERS SM1
ON SM.MEMBERUID = SM1.MEMBERUID
INNER JOIN SYSUSERS SU1
ON SM1.GROUPUID = SU1.UID
AND SU1.NAME = ‘db_owner‘
AND SU.NAME ‘dbo‘
但是,此查詢可能不能找到所有具有“dbo”訪問權限的用戶,因為SQL Server 中的一個安全漏洞。讓我來解釋這個問題。
讓我們創建兩個登錄,AliasUser1和DBUser1.
別名AliasUser1分配給“dbo”角色。
把用戶DBUser1添加到角色“dbo”中,假如我們需要把“dbo”權限授給一個數據庫用戶,那麼這是一種很正常的行為。
下面的腳本將為我們做這些動作:
IF NOT EXISTS (SELECT
FROM SYS.SERVER_PRINCIPALS
WHERE NAME = N‘AliasUser1‘)
CREATE LOGIN [AliasUser1]
WITH PASSWORD=N‘test‘, DEFAULT_DATABASE=[master], DEFAULT_LANGUAGE=[us_english],
CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
IF NOT EXISTS (SELECT
FROM SYS.SERVER_PRINCIPALS
WHERE NAME = N‘DBUser1’)
CREATE LOGIN [DBUser1]
WITH PASSWORD=N‘test‘, DEFAULT_DATABASE=[master], DEFAULT_LANGUAGE=[us_english],
CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
--add a aliased user with dbo priveleges
exec sp_addalias ‘AliasUser1‘,‘dbo‘
--add a regular db user to the dbo role
CREATE USER [DBUser1] FOR LOGIN [DBUser1]
現在,讓我們從SSMS中檢驗我們剛創建的用戶。注重,我們別名到“dbo”中的“AliasUser1”沒有在用戶下面出現。SQL Server沒有在“用戶”列表中顯示別名用戶。
那麼我們要如何找到一個數據庫中的別名用戶呢?執行下面的查詢:
selectfrom sys.sysusers
在下面的結果集中,我們看到“AliasUser1”前面有一個““”,假如我們檢查字段“isaliased”,在右邊的第三個字段,那麼它有一個為1的值。
下面的命令也能運行來顯示所有的用戶和別名。在下面的輸出結果中,你可以看到別名用戶“AliasUser1”沒有作為一個用戶出現,但是在第二個結果集中它作為一個別名用戶出現。
exec sp_helpuser
另一個需要注重的有趣之處是,你不能使用sp_dropuser存儲過程來刪除一個別名用戶,相反,要使用sp_dropalias來刪除。
通過一個登錄使用一個到“dbo”的別名,這將讓你完全訪問自己的數據庫,例如一個db_owner.不足之處是在SSMS中沒有一個地方可以看到這個過程。你可以自己嘗試。在其中一個你自己數據庫中按照下面的步驟,然後使用登錄“AliasUser1”和密碼“test”,你可以看到該登錄可以在你創建別名的數據庫中進行任何它想要的行為。
下一步驟
針對你的數據庫運行sp_helpuser,看看你是否建立了別名。
假如有別名用戶具有“dbo”級別的權限,那麼看看刪除這些並使用下面所述的角色。
這個別名功能被微軟阻止了很長一段時間,但是它仍然在2005中使用。我認為這是基於向後兼容的考慮。該功能在SQL 2008中取消了。
因此,假如你的應用程序正在使用別名,而它在SQL 2008中不能使用,那麼使用上面提到的不同方法試試。
