Subscribe by RSS

SQL server 2005

Postado por f0nt_Drk on quarta-feira, 27 de outubro de 2010 às 15:31 Marcadores: 0 comentários
Admin's, se possível criem uma área para banco de dados (sql server, mysql, etc) e movam meu tópico pra lá

Galerinha a idéia e fazer da seguinte forma:
SQL Server 2005
Índice 
--.Introdução 
1.Criando um Banco de Dados
2. Tipos de Dados e Criação de tabelas
3. Inserindo Registros nas Tabela
4.Selecionando Registros nas Tabelas
5.Chave Primária
6. A Claúsula Where 
7. Order By 
8. Like
9. Group By
10.Update
11.Alter Table
12.Apagando Banco de dados, tabelas e Registros
13.Chave Estrangeira
14.Selecionando Registros de tabelas diferentes
15.Relacionando Tabelas


Será um pouco extenso e sou preguiçoso pra essas coisas, então não sei em quanto tempo irei fazer... Estava pensando em fazer tudo em vídeo, mas tem coisa que é chato ficar explicando como tipos de dados e etc...
Então irei colocar alguns links ou artigos relacionados para ler em partes que eu não achar necessário video.

Resumindo tudo...isso não é um tutorial passo a passo, você vai ter que pesquisar,ler e aprender aquilo que não entender,claro que qualquer dúvida só postar que eu tento ajudar, mas se quiser algo passo a passo recomendo a escola impacta de tecnologia. =D




-----------------------------------------------------------------------------------



--.Introdução (links e texto)

Os banco de dados relacionais são indiscutivelmente o tipo de banco de dados mais comumente utilizado. Não é necessário entender teoria relacional para utilizar um banco de dados relacional (o que é uma coisa boa), mas neste artigo passo alguns conceitos sobre isso.

Tabelas

Os bancos de dados relacionais são compostos de relações, mais comumente chamadas de tabelas. Uma tabela é exatamente o que o nome sugere - uma tabela de dados. Se alguma vez utilizou uma planilha eletrônica, já utilizou uma tabela relacional.

Toda tabela é composta por colunas, cada uma correspondendo a um fragmento diferente de dados e linhas que correspondem a registros individuais.

Colunas

Cada coluna na tabela tem um nome único e contém dados diferentes. Cada coluna tem um tipo de dados associados. As colunas são comumente chamadas de campos ou atributos.

Linhas

Cada linha em uma tabela representa um registro diferente. Por causa do formato tabular, todas elas têm os mesmos atributos. As linhas também são comumente chamadas de registros ou tuplas.

Valores

Cada linha consiste em um conjunto de valores individuais que correspondem a colunas. Cada valor deve ter o tipo de dados especificado pela sua coluna.

Chaves

É necessário ter uma maneira de identificar cada registro específico. Campos do tipo String normalmente não são uja maneira muito boa de fazer isso - este campo poderá ter registro repetidos. Para evitar redundâncias deste tipo adicionamos um inteiro único. Esse é o mesmo princípio que leva você a ter um número único de conta bancária ou número de associação. Isso facilita o armazenamento em um banco de dados. Um número de identificação artificialmente atribuído pode ter a garantia de se único. Poucas partes de informações reais, mesmo se utilizadas em combinação, têm essa propriedade.

A coluna de identificação em uma tabela é chamada de chave ou chave primária. Uma chave também pode consistir em múltiplas colunas. Por exemplo, podemos refirir a um registro específico combinando os campos correpondentes a ele, mas não tendo a garantia de ser única.

Normalmente os bancos de dados consistem em múltiplas tabelas e utilizam uma chyave como uma referência de uma tabela para outra. O termo de banco de dados relacinal para esse relacionamento é chave estrangeira. O identificador de uma tabela, quando aparece em outra tabela, é referido como uma chave estrangeira.

Relacionamentos

As chaves estrangeiras representam um relacionamento entre dados em duas tabelas.

Existem três tipos básicos de relacionamentos em um banco de dados relacional. Esses tipos são classficados de acordo com o número de coisas em cada lado do relacionamento. Os relacionamentos podem ser de um para um, de um para muitos ou de muitos para muitos.

Um relacionamento de um para um significa que há uma de cada coisa no relacionamento.

Em um relacionamento de um para muitos, uma linha em uma tabela é vinculada a muitas linhas na outra tabela.

Em um relacionamento de muitos para muitos, muitas linhas em uma tabela são vinculadas a muitas linhas de outra tabela. Esse tipo de relacionamento normalmente obtém uma tabela inteira para si próprio, então talvez tenha uma terceira tabela que só conteria as chaves das outras tabelas como chaves estrangeiras em pares, para mostrar quais registros estão associados.

Copy Paste From htmlstaff
Links(((--------
Básico sobre banco de dados:
http://www.cti.furg.br/~betito/bd/Introducao.ppt
Definições:
http://www.cti.furg.br/~betito/bd/ConceitosDefinicoes.ppt

É importantissimo você ter entendido como funciona um banco de dados relacionais para poder avançar nos seus estudos, caso esteja perdido, pode usar o excel ou Calc(Open Office) para entender o conceito de linhas e tabelas =D

Entendido isso você já pode instalar o sql server 2005 em sua máquina. Instale a versão Express, pois ela é gratuita e não fica devendo em nada para as outras versões (pelo menos pra quem só quer aprender)

Fim da Primeira Parte


Olhem estes videos agora para um melhor entendimento :
http://imasters.uol.com.br/artigo/244/sql_server/tipos_de_dados_no_sql_server_-_parte_1/
http://imasters.uol.com.br/artigo/245/sql_server/tipos_de_dados_no_sql_server_parte_2/


Para criamos um banco de dados onde, mais tarde, vamos inserir nossas tabelas, usamos o comando 

CREATE DATABASE [nome do banco de dados].

Vídeo:



Então moçada ficae um bom tuto pra voces manjarem mais de SQL Server 2005 .


Autor : Pai Load . Lá da NSG , otimo topico bode véio .

[Tutorial] Teste de Intrusão - Parte 1

Postado por f0nt_Drk on às 15:23 Marcadores: 0 comentários
Este é o primeiro de 5 ou 6 tutoriais que vou criar sobre testes de intrusão, sei que muita gente pode não compreender certos termos em Português de Portugal, mas esta é a minha língua, por isso me desculpem, afinal sempre é melhor que em inglês para muitos dos casos.

O tutorial não segue há risca um teste de penetração simplificado, por isso não esperem grandes detalhes no tutorial, por trata-se de um fórum sou obrigado a resumir grande parte dos passos.

Vou tentar pelo menos criar 2 capítulos por semana, conforme o tempo disponível e a vontade de escrever, que não será grandes problemas visto que adoro escrever.

Boa leitura e espero que assimilem alguma informação nas seguintes frases.



Vamos lá então:



É legal, que te paguem por romper cristais é melhor a que te paguem por regulá-los. Esta é uma piada (portuguesa) que fiz mil vezes porque realmente o sinto assim. Os testes de Intrusão ou teste de penetração (pentests) são divertidos, muito divertidos diria eu. Neste artigo queria falar-vos dos passos para levar a cabo um teste de penetração em uma empresa. Mesmo que a grandes rasgos os testes de penetração são todos similares é certo que cada um tem sua arte e seu ponto forte.



Auditoria de BlackBox:



Os testes de penetração não chegam em ser uma auditoria já que estas devem ser exaustivas em extensão e profundidade, isto é, devem avaliar todos os riscos, todos os “caminhos” e avaliar o nível de cada um deles. Um pentest é encontrar um caminho para resolver o sudoku. O certo é que quando se realiza um teste de intrusão no final sai quase tudo, incluído, o que é mais importante, as más práticas de configuração, implementação ou desenvolvimento, mas é preciso deixar clara a diferença entre uma auditoria e um teste de intrusão.



Quando se realiza uma auditoria de segurança estas serão diferentes se realizam desde dentro da rede com uma conta pouco privilegiada, desde Internet sem nenhuma credencial ou desde dentro com os privilégios do próprio administrador. Se devem realizar todas, não é que uma seja melhor que outra, todas se complementam e dão diferente informação. As que se realizam desde fora e sem nenhuma credencial se chamam auditorias de BlackBox, enquanto as que as que se realizam desde dentro se chamam auditorias de WhiteBox.



Poderíamos dizer que um teste de intrusão é uma auditoria de BlackBox e a diferença será se se buscam todos os caminhos ou só se procura justificar a necessidade de uma auditoria de segurança em profundidade. Sim, mesmo que pareça estranho em muitas companhias a dia de hoje ainda é preciso justificar a necessidade de uma auditoria de segurança. Porque… a quem lhe importa se amanhã no Site põem um graffiti ou se os dados do banco de dados foram mudados parcialmente durante os últimos três meses e não podemos recuperar nenhuma cópia de bases de dados porque não temos garantia que nenhuma seja confiável?



Começa a festa:



Em primeiro lugar você deve escolher o ponto de execução do teste, como já vimos antes, talvez queremos realizar uma auditoria simulando que somos um usuário externo ou talvez, pensemos que o inimigo é um cliente remoto ou possa ser um trabalhador interno. Quem sabe? Ou não? Escolhemos o ponto de execução e começa a campanha. Para isso começamos pela fases de “combate”.



Eleição de objectivos:



É preciso buscar onde pode haver uma porta para entrar dentro e fazer…¡já se verá! Ainda é em breve, não nos pomos objectivos, se vai conquistando pouco a pouco o inimigo. Para isso vamos analisar os activos da empresa expostos a nosso ponto de execução. Isto é, desde onde estamos que serviços e/ou servidores estão em nossa linha de tiro. Servidores site, servidores de conexões VPN, o servidor de correio, de arquivos, de dns, etc…. Inventariamos os activos a testar e começamos a segunda fase.



Recolha de Informação:



Que nos interessa? TUDO. Toda informação que se possa conseguir é útil, sinto dizer isto mas até a informação sobre as pessoas que operam e ou trabalham na empresa directa ou indirectamente com os sistemas é útil. Para isso realizamos duas batidas de recolhida de informação diferentes utilizando duas filosofias diferentes. Em primeiro lugar vamos apanhar toda a informação que seja pública da empresa e dos objectivos. É pública, por tanto a recolhemos e aprendamos tudo o que possamos deles. As ferramentas que utilizamos são ferramentas de Footprinting ou de seguimento ou rastros de pegadas.



Footprinting:



As ferramentas que vamos utilizar são simples públicas e “legais” isto é, ainda não necessitaríamos um documento de Exoneração de Responsabilidades que nos autorize a realizar o teste, com o que se quer testar você pode fazê-lo com quem você deseje só por praticar.



Para conhecer a informação da empresa começamos por consultar o servidor DNS para ver que servidores têm registados com que serviços. Normalmente vamos tirar as Direcções de IP dos servidores DNS, dos servidores Web, dos servidores de correio e … tudo o que se possa. Para fazer esta parte eu uso o próprio Nslookup que vem no sistema e com simples comandos podemos tirar toda esta informação.



Nslookup:



Quando entramos no interface de comandos de nslookup estamos realizando consultas directamente contra o servidor de DNS que temos configurado em nossa máquina, por tanto primeiro é averiguar qual é o servidor de dns de nosso objectivo e perguntar-lhe a ele. Para isso escolhemos o tipo de registo que queremos consultar com o comando set type. Para tirar os servidores dns: set type=ns; Para os hosts: set type=a; para os redireccionadores de correio: set type=mx, etc….



Uma vez eleito o tipo se realiza a petição de resolução com o domínio que se quer consultar e nos devolve as Direcções de IP dos servidores DNS primário e secundário. Por tanto quando saibamos quais são, configuramos a esses servidores como os receptores de nossas consultas com o comando: Server IP e uma vez que estejamos ali tiramos toda a informação pública que tenhamos. Se o DNS está logo que configurado nos permitirá duas coisas que nunca se devem permitir, a transferência de zonas e a lista de todos os registos. Para isso basta conectar-se ao servidor de dns e desde o nslookup e realizar um simples teste com o comando ls nome_de_domínio. Se cola, nos retornará toda a informação da zona na tela. E perguntando ao registo SOA da Zona DNS poderemos saber qual é o correio do responsável do dns e o mais provável webmaster.



Da informação que extraiamos daqui poderemos saber coisas como se os servidores estão em hosting, housing ou os tem a companhia, se têm serviços de apoio externos, se o administrador é cuidadoso e detalhista ou não. Pensem que o processo de ataque pode depender destes pequenos você detalhes. Imaginemos um serviço Web de uma empresa que está em hosting, se compramos um domino no mesmo fornecedor teremos acesso ao mesmo servidor de nosso objectivo quase mais de 100 perus ao ano e atacar a um companheiro de hosting oferece a possibilidade de um novo caminho digno de explorar.



Neste exemplo, com uma empresa escolhida ao acaso, o tugamania.com por exemplo, veremos o que ele nos mostra em suas propriedades, se pode fazer “ls” do domínio que permite ver a lista de todos os servidores, e o IP interno de um servidor muito, muito significativo, que se chama bd (Banco de Dados?) com um direccionamentos 192.168.1.1. Curioso.




Traçar e Posicionar:



Uma vez que se têm os objectivos iniciais marcados com direcções IPS o seguinte é situá-los na rede e geograficamente, pode dar-nos alguma informação curiosa. Ferramentas como tracert ou o Visualroute nos vão permitir averiguar qual é a localização física e quem são os seus provedores de acesso a Internet.




Baixar em http://visualroute.visualware.com

Nele visualizamos as redes que lhe conectam, neste caso podemos ver quem é seu fornecedor de serviços de Internet.


Whois:



Quando uma empresa regista um domínio na Internet deve encher uma série de dados no registador que devem estar em uma base de dados de informação que se chama Whois. A informação que se regista neste banco de dados pode proteger-se parcialmente configurando-se no registo, mas por defeito toda ela é pública. Cada registador oferece ferramentas de acesso ao banco de dados whois para que qualquer possa consultá-la.



Whois online em http://samspade.org/

Baixar em http://www.webmasterfree.com/samspade.html






Spiders (aranhas de Internet):



Usem a informação que os spiders já recolheram e aprende a tirar-lhe partido às bases de dados sobre as lugares que têm nossos amigos os buscadores. Existe um banco de dados que se chama Google Hacking Database (GHD) que tem catalogadas em diferentes categorias correntes de busca para usar-se no google para tirar informação para hacking de empresas através das bases de dados do buscador google. Há uma secção que me encanta se chama “Passwords” e a explicação que dão no próprio banco de dados sobre essa categoria é: “FOR THE LOVE OF GOD, GOOGLE FINDS PASSWORDS”. Aprende a fuçar (termo vosso) no google/msn search para seguirem os rastros da empresa e dos administradores, te surpreenderá o que pode fazer um administrador de uma empresa com seus correios corporativos.



Acessar em http://johnny.ihackstuff.com



Fim do primeiro Capitulo...

Autor: placker
Assinar: Postagens (Atom)
 
Copyright © Masterplan
Blogger Theme by BloggerThemes Sponsored by Busy Buzz Blogging