Do viết lại các truy vấn củaPostgreSQLHệ thống quy kèo bóng đá cúp c2, các bảng/chế độ xem khác so với các bảng được sử dụng trong truy vấn ban đầu được truy cập. Khi các quy kèo bóng đá cúp c2 cập nhật được sử dụng, điều này có thể bao gồm quyền truy cập ghi vào các bảng.

Viết lại các quy kèo bóng đá cúp c2 không có chủ sở hữu riêng. Chủ sở hữu của một mối quan hệ (bảng hoặc chế độ xem) tự động là chủ sở hữu của các quy kèo bóng đá cúp c2 viết lại được xác định cho nó. ThePostgreSQLHệ thống quy kèo bóng đá cúp c2 thay đổi hành vi của hệ thống điều khiển truy cập mặc định. Ngoại trừChọnQuy kèo bóng đá cúp c2 liên quan đến chế độ xem Invoker bảo mật (xemPostgreSQL: Tài), Tất cả các mối quan hệ được sử dụng do các quy kèo bóng đá cúp c2 được kiểm tra đối với các đặc quyền của chủ sở hữu quy kèo bóng đá cúp c2, chứ không phải người dùng gọi quy kèo bóng đá cúp c2. Điều này có nghĩa là, ngoại trừ các chế độ xem bảo mật Invoker, người dùng chỉ cần các đặc quyền cần thiết cho các bảng/chế độ xem được đặt tên rõ ràng trong các truy vấn của họ.

Ví dụ: Người dùng có danh sách các số điện thoại trong đó một số trong số họ là riêng tư, những người khác được trợ lý của văn phòng quan tâm. Người dùng có thể xây dựng như sau:

Tạo bảng điện thoại_data (văn bản người, văn bản điện thoại, boolean riêng);
Tạo View Phone_Number là
    Chọn người, trường hợp khi không riêng tư thì điện thoại kết thúc như điện thoại
    Từ điện thoại_data;
Cấp chọn trên Phone_Number cho Trợ lý;

Không ai ngoại trừ người dùng đó (và siêu người dùng cơ sở dữ liệu) có thể truy cậpPhone_dataBảng. Nhưng vìGrant, Trợ lý có thể chạyChọntrênPhone_numberXem. Hệ thống quy kèo bóng đá cúp c2 sẽ viết lạiChọntừPhone_numberthành AChọntừPhone_data. Vì người dùng là chủ sở hữu củaPhone_numberVà do đó, chủ sở hữu của quy kèo bóng đá cúp c2, việc đọc quyền truy cập vàoPhone_datahiện được kiểm tra đối với các đặc kèo bóng đá cúp c2ền của người dùng và truy vấn được cho phép. Kiểm tra truy cậpPhone_number

Các đặc quyền được kiểm tra quy kèo bóng đá cúp c2 theo quy kèo bóng đá cúp c2. Vì vậy, trợ lý bây giờ là người duy nhất có thể nhìn thấy số điện thoại công cộng. Nhưng trợ lý có thể thiết lập một quan điểm khác và cấp quyền truy cập cho công chúng. Sau đó, bất cứ ai cũng có thể nhìn thấyPhone_numberDữ liệu thông qua chế độ xem của Trợ lý. Điều mà trợ lý không thể làm là tạo một chế độ xem trực tiếp truy cậpPhone_data. (Trên thực tế, trợ lý có thể, nhưng nó sẽ không hoạt động vì mọi kèo bóng đá cúp c2ền truy cập sẽ bị từ chối trong khi kiểm tra kèo bóng đá cúp c2ềnPhone_numberXem, người dùng có thể thu hồi quyền truy cập của trợ lý. Ngay lập tức, mọi quyền truy cập kèo bóng đá cúp c2o chế độ xem trợ lý sẽ thất bại.

Người ta có thể nghĩ rằng kiểm tra theo quy kèo bóng đá cúp c2 này là một lỗ hổng bảo mật, nhưng thực tế nó không phải là. Nhưng nếu nó không hoạt động theo cách này, trợ lý có thể thiết lập một bảng có cùng cột nhưPhone_numbervà sao chép dữ liệu kèo bóng đá cúp c2o đó một lần mỗi ngày. Sau đó, đó là dữ liệu của chính trợ lý và trợ lý có thể cấp quyền truy cập cho mọi người họ muốn. MỘTGrantlệnh có nghĩa là,Tôi tin tưởng bạn”. Nếu ai đó bạn tin tưởng làm điều ở trên, đã đến lúc phải suy nghĩ về nó và sau đó sử dụngthu hồi.

14143_14327Security_Barriercờ đã được đặt. Ví dụ: chế độ xem sau là không an toàn:

Tạo View Phone_Number AS
    Chọn người, điện thoại từ điện thoại_data nơi điện thoại không thích '412%';

Chế độ xem này có vẻ an toàn, vì hệ thống quy kèo bóng đá cúp c2 sẽ viết lại bất kỳ nàoChọntừPhone_numberthành AChọntừPhone_datavà thêm trình độ chỉ các mục nhập trong đóĐiện thoạiKhông bắt đầu với 412 là muốn. Nhưng nếu người dùng có thể tạo các chức năng của riêng họ, không khó để thuyết phục người lập kế hoạch thực thi chức năng do người dùng xác định trướckhông thíchBiểu thức. Ví dụ:

Tạo chức năng Tricky (văn bản, văn bản) trả về Bool dưới dạng $$
BẮT ĐẦU
    Nâng cao thông báo ' % = %', $ 1, $ 2;
    Trả lại đúng;
KẾT THÚC;
$$ Ngôn ngữ plpgsql có giá 0,0000000000000000000001;

Chọn * Từ Phone_Number nơi khó (người, điện thoại);

mỗi người và số điện thoại trongPhone_dataBảng sẽ được in dưới dạngThông báo, vì người lập kế hoạch sẽ chọn thực hiện rẻ tiềnTrickyHàm trước khi đắt hơnkhông thích. Ngay cả khi người dùng bị ngăn chặn xác định các chức năng mới, các chức năng tích hợp có thể được sử dụng trong các cuộc tấn công tương tự. (Ví dụ: hầu hết các hàm đúc bao gồm các giá trị đầu kèo bóng đá cúp c2o của chúng trong các thông báo lỗi chúng

Cân nhắc tương tự áp dụng cho các quy kèo bóng đá cúp c2 cập nhật. Trong các ví dụ của phần trước, chủ sở hữu của các bảng trong cơ sở dữ liệu ví dụ có thể cấp các đặc quyềnChọn, 16174_16182, Cập nhậtvàXóatrênShoelaceXem cho người khác, nhưng chỉChọntrênShoelace_log. Hành động quy kèo bóng đá cúp c2 để ghi các mục nhật ký vẫn sẽ được thực thi thành công và người dùng khác có thể thấy các mục nhật ký. Nhưng họ không thể tạo các mục giả, họ cũng không thể điều khiển hoặc loại bỏ các mục hiện có. Trong trường hợp này, không có khả năng lật đổ các quy kèo bóng đá cúp c2 bằng cách thuyết phục người lập kế hoạch thay đổi thứ tự hoạt động, bởi vì quy kèo bóng đá cúp c2 duy nhất tham khảoShoelace_loglà một người không đủ tiêu chuẩnChèn. Điều này có thể không đúng trong các tình huống phức tạp hơn.

Khi cần thiết để cung cấp bảo mật cấp hàng,Security_Barrier17065_17325

Tạo View Phone_Number với (Security_Barrier)
    Chọn người, điện thoại từ điện thoại_data nơi điện thoại không thích '412%';

chế độ xem được tạo bằng17538_1755617561_17798

Người lập kế hoạch truy vấn có tính linh hoạt hơn khi xử lý các chức năng không có tác dụng phụ. Các chức năng như vậy được gọi làLeakproof17972_18417LeakproofĐể được đẩy xuống, vì chúng không bao giờ nhận được dữ liệu từ chế độ xem. Ngược lại, một hàm có thể gây ra lỗi tùy thuộc kèo bóng đá cúp c2o các giá trị nhận được dưới dạng đối số (chẳng hạn như một hàm gây ra lỗi trong trường hợp tràn hoặc phân chia theo 0) không bị rò rỉ và có thể cung cấp thông tin quan trọng về các hàng không nhìn thấy nếu được áp dụng trước các bộ lọc hàng của chế độ xem bảo mật.

Điều quan trọng là phải hiểu rằng ngay cả một chế độ xem được tạo bằngSecurity_BarrierTùy chọn chỉ nhằm bảo mật theo nghĩa hạn chế rằng nội dung của các bộ dữ liệu vô hình sẽ không được chuyển đến các chức năng không an toàn. Người dùng cũng có thể có các phương tiện khác để đưa ra các suy luận về dữ liệu chưa từng thấy; Ví dụ: họ có thể xem gói truy vấn bằng cách sử dụngGiải thích19257_19747