作者:烟台 王岗(www.5iadmin.com,QQ:369459071),转载请保留此信息,谢谢。

笔者从事网络管理工作,数月前,应邀对本地一家公司做了一次安全检测,在检测就要结束的时候,在内网用嗅探到了一个SQLServer数据库的SA密码,经该公司的网络管理人员介绍说,该数据库服务器运行了一套软件,在互联网有固定的ip地址,用于与各地子公司交换数据用的,SA密码是软件安装人员设置的,数据库服务器从来没有出现过安全问题。尽管这个SA密码非常复杂,10多位字符,由数字和字母混合组成,但笔者一看到这个SA密码的部分字符,马上想到国内的一家软件公司,会不会这个家软件公司的SA密码设置都是相同的,或者大部分是这个?经过几个月的测试,笔者发现了更为惊人的情况,国内多个软件公司的部分数据库软件产品都存在安全隐患,严重威胁到运行服务器和数据的安全,入侵者可以在短时间内完全控制互联网上大量数据库服务器。SA密码泄露会造成什么危害请参考笔者的这篇文章:http://www.5iadmin.com/post/286.html。由于众所周知的原因,本文没有进行抓图说明,下文仅以字母代表软件公司的名称。
...