當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

六大數(shù)據(jù)庫攻擊手段

http://m.yibo1263.com　2008-9-19 9:23:34 　來源:東北IT網(wǎng) 　編輯:葉子

特權(quán)提升通常更多地與錯誤的配置有關(guān)：一個用戶被錯誤地授與了超過其實際需要用來完成工作的、對數(shù)據(jù)庫及其相關(guān)應(yīng)用程序的訪問和特權(quán)。

Forrester的Yuhanna說，“這是一個控制問題。有時一個企業(yè)并沒有提供哪些人員需要訪問何種資源的良好框架結(jié)構(gòu),而且通常情況下，數(shù)據(jù)庫管理員并沒有從業(yè)務(wù)上理解企業(yè)的數(shù)據(jù)。這是問題之一�！�

而且，有時一個內(nèi)部的攻擊者（或者一個已經(jīng)控制了受害人機器的外部的家伙）可以輕松地從一個應(yīng)用程序跳轉(zhuǎn)到數(shù)據(jù)庫，即使他并沒有這個數(shù)據(jù)庫的相關(guān)憑證也可以如此。Yuhanna 說，“一個非特權(quán)用戶可以試著連接到數(shù)據(jù)庫，只要他可以訪問一個系統(tǒng)，如CRM，他就可以用同樣的口令通過檢查，即使他沒有獲得此數(shù)據(jù)庫的授權(quán)。有些控制并沒有實現(xiàn)很好的集中化。”

Sentrigo的Markovich近來能夠通過一個擁有少量特權(quán)的用戶賬戶攻入一個客戶的數(shù)據(jù)庫。Markovich說，“他們要求我攻入其數(shù)據(jù)庫。我找到了一個少量特權(quán)的用戶口令，然后就進入了系統(tǒng)。然后我檢查了他的特權(quán)，他擁有對數(shù)據(jù)庫的只讀性訪問，因此一個少量特權(quán)的用戶可以訪問讀取數(shù)據(jù)庫內(nèi)的任何表，包括信用卡信息、個人信息。因此，我說：‘我不需要攻入數(shù)據(jù)庫�！�

專家們說，經(jīng)驗法則應(yīng)當(dāng)說是僅給用戶所需要的數(shù)據(jù)庫訪問和權(quán)力，不要有更多的東西。

還有那些擁有合法訪問的特權(quán)用戶，他們頭腦中可能并沒有合法的操作�！澳闳绾慰刂圃L問呢？這個領(lǐng)域也正在開始演化。”

3.利用未用的和不需要的數(shù)據(jù)庫服務(wù)和功能中的漏洞

當(dāng)然，一個外部的攻擊者會尋找較弱的數(shù)據(jù)庫口令，看其潛在的受害人是否在運行其Oracle數(shù)據(jù)庫上運行監(jiān)聽程序（Listener）功能。監(jiān)聽程序可以搜索出到達Oracle數(shù)據(jù)庫的網(wǎng)絡(luò)連接，并可以轉(zhuǎn)發(fā)此連接，這樣一來就會將用戶和數(shù)據(jù)庫的鏈接暴露出來。

只需采用一些Google hacking攻擊，一位攻擊者就可以搜索并找到數(shù)據(jù)庫服務(wù)上暴露的監(jiān)聽程序。Markovich 說，“許多客戶并沒有在監(jiān)聽程序上設(shè)置口令，因此，黑客就可以搜索字符串并找出Web上活動的監(jiān)聽程序。我剛才搜索了一下，發(fā)現(xiàn)有一些可引起人們注意的東西，如政府站點。這確實是一個大問題。”

其它的特性，如操作系統(tǒng)和數(shù)據(jù)庫之間的鉤子可以將數(shù)據(jù)庫暴露給攻擊者。這種鉤子可以成為達到數(shù)據(jù)庫的一個通信鏈接。Yuhanna說，“在你鏈接庫和編寫程序時…那將成為與數(shù)據(jù)庫的界面，”你就是在將數(shù)據(jù)庫暴露出去，并可能在無認證和無授權(quán)的情況下讓黑客進入內(nèi)部。

通常，數(shù)據(jù)庫管理員并沒有關(guān)閉不需要的服務(wù)。Julian 說，“他們只是任其開著。這種設(shè)計過時且管理跟不上，這是讓其發(fā)揮實際作用的最簡單方法。不需要的服務(wù)在基礎(chǔ)結(jié)構(gòu)中大搖大擺地存在，這會將你的漏洞暴露在外�！�

關(guān)鍵是要保持數(shù)據(jù)庫特性的精簡，僅安裝你必須使用的內(nèi)容。別的東西一概不要。Markovich說，“任何特性都可被用來對付你，因此只安裝你所需要的。如果你并沒有部署一種特性，你就不需要以后為它打補丁�！�

4.針對未打補丁的數(shù)據(jù)庫漏洞

好消息是Oracle和其它的數(shù)據(jù)庫廠商確實在為其漏洞打補丁。壞消息是單位不能跟得上這些補丁，因此它們總是處于企圖利用某種機會的老謀深算的攻擊者控制之下。

數(shù)據(jù)庫廠商總是小心翼翼地避免披露其補丁程序所修正的漏洞細節(jié)，但單位仍以極大的人力和時間來苦苦掙扎，它會花費人力物力來測試和應(yīng)用一個數(shù)據(jù)庫補丁。例如，給程序打補丁要求對受補丁影響的所有應(yīng)用程序都進行測試，這是項艱巨的任務(wù)。

Yuhanna 說，“最大問題是多數(shù)公司不能及時安裝其程序補丁，一家公司告訴我，他們只能關(guān)閉其數(shù)據(jù)庫一次，用六小時的時間打補丁，它們要冒著無法打補丁的風(fēng)險，因為它們不能關(guān)閉其操作�！�

Markovich說，在今天正在運行的多數(shù)Oracle數(shù)據(jù)庫中，有至少10到20個已知的漏洞，黑客們可以用這些漏洞攻擊進入。他說，“這些數(shù)據(jù)庫并沒有打補丁，如果一個黑客能夠比較版本，并精確地找出漏洞在什么地方，那么，他就可以跟蹤這個數(shù)據(jù)庫�！�

本新聞共3頁,當(dāng)前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费