DB | Sicherheit

Question 1

Mandatory Access Control (MAC)

Answer 1

• Zugriffsrechte werden aufgrund allgemeiner Regeln definiert
• sind vorgegeben und können nicht verändert werden

Question 2

Discretionary Access Control (DAC)

Answer 2

• Rechte können individuell vergeben werden
• Eigentümer des Objekts entscheidet, wer wie darauf zugreifen darf
• hohe Flexibilität, aber anfällig für Fehler

Question 3

Role-based Access Control (RBAC)

Answer 3

• Rechte werden auf Basis von Rollen zugewiesen
• Rechte müssen nicht mehr einzeln an Nutzer*innen vergeben werden
• Zuweisen von Rechten wird erleichtert

Question 4

Welches Privileg muss einem Benutzer erteilt werden, damit er sich beim Oracle-Server anmelden kann?

Answer 4

CREATE SESSION (Systemprivileg)

Question 5

Welches Privileg muss einem Benutzer erteilt werden, damit er Tabellen erstellen kann?

Answer 5

CREATE TABLE (Systemprivileg)

Question 6

Was bedeutet WITH GRANT OPTION im Zusammenhang mit der Vergabe von Objektrechten?

Answer 6

Benutzer*innen, denen diese Rechte zugewiesen wurden, können diese Rechte an Dritte weitergeben

Question 7

Was ist SQL-Injection?

Answer 7

• Angriffstechnik, bei der SQL-Anfragen an die Datenbank vom Angreifer manipuliert werden
• jeglicher Code, der Eingaben entgegennimmt und daraus dynamisch SQL-Statements erzeugt, ist potentiell gefährdet
• z.B. über Formulare auf Websites

Question 8

SQL-Injection verhindern

Answer 8

• Prepared Statements:
  vorbereitetes SQL-Statement, das noch keine Parameter enthält; die DB prüft die Gültigkeit von Parametern, bevor diese verarbeitet werden
• Validierung
• Escaping