當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

六大數(shù)據(jù)庫(kù)攻擊手段

http://m.yibo1263.com　2008-9-19 9:23:34 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

而且一些黑客站點(diǎn)將一些已知的數(shù)據(jù)庫(kù)漏洞的利用腳本發(fā)布了出來(lái)，他說(shuō)。即使跟得上補(bǔ)丁周期有極大困難，單位也應(yīng)當(dāng)打補(bǔ)丁。他說(shuō)，例如，Oracle4月15日的補(bǔ)丁包含了數(shù)據(jù)庫(kù)內(nèi)部的17個(gè)問(wèn)題。這些和其它的補(bǔ)丁都不應(yīng)當(dāng)?shù)粢暂p心。每一個(gè)問(wèn)題都能夠破壞你的數(shù)據(jù)庫(kù)。

5.SQL注入

SQL注入式攻擊并不是什么新事物了，不過(guò)近來(lái)在網(wǎng)站上仍十分猖狂。近來(lái)這種攻擊又侵入了成千上萬(wàn)的有著鮮明立場(chǎng)的網(wǎng)站。

雖然受影響的網(wǎng)頁(yè)和訪問(wèn)它的用戶在這些攻擊中典型情況下都受到了重視，但這確實(shí)是黑客們進(jìn)入數(shù)據(jù)庫(kù)的一個(gè)聰明方法。數(shù)據(jù)庫(kù)安全專家們說(shuō)，執(zhí)行一個(gè)面向前端數(shù)據(jù)庫(kù)Web應(yīng)用程序的SQL注入攻擊要比對(duì)數(shù)據(jù)庫(kù)自身的攻擊容易得多。直接針對(duì)數(shù)據(jù)庫(kù)的SQL注入攻擊很少見(jiàn)。

在字段可用于用戶輸入，通過(guò)SQL語(yǔ)句可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的直接查詢時(shí)，就會(huì)發(fā)生SQL攻擊。也就是說(shuō)攻擊者需要提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)。

除客戶端之外，Web應(yīng)用程序是最脆弱的環(huán)節(jié)。有些情況下，如果攻擊者得到一個(gè)要求輸入用戶名和口令的應(yīng)用程序的屏幕，而且應(yīng)用程序并不檢查登錄的內(nèi)容的話，他所需要做的就是提供一個(gè)SQL語(yǔ)句或者數(shù)據(jù)庫(kù)命令，并直接轉(zhuǎn)向數(shù)據(jù)庫(kù)。Yuhanna說(shuō)，問(wèn)題是身份驗(yàn)證和授權(quán)已經(jīng)被移交給了應(yīng)用程序服務(wù)器。

他說(shuō)，“此時(shí)輸入的并不是一個(gè)用戶名，而是一個(gè)SQL命令。它被輸入到一個(gè)數(shù)據(jù)包中，并且由應(yīng)用程序服務(wù)器發(fā)送給數(shù)據(jù)庫(kù)。這個(gè)數(shù)據(jù)庫(kù)會(huì)讀取欺詐性的SQL命令，而且它能夠完全關(guān)閉整個(gè)數(shù)據(jù)庫(kù)�！�

他說(shuō)，“這是開(kāi)發(fā)者的一種可悲的開(kāi)發(fā)方法。你必須關(guān)注用戶正在輸入的內(nèi)容。不管你想執(zhí)行什么，數(shù)據(jù)庫(kù)都會(huì)執(zhí)行。這是很令人驚慌的問(wèn)題。SQL注入式攻擊是一個(gè)很大的問(wèn)題�！�

Sentrigo 的Markovich說(shuō)，從Web應(yīng)用程序到數(shù)據(jù)庫(kù)兩個(gè)方面都可以實(shí)施SQL注入式攻擊，而且可以從數(shù)據(jù)庫(kù)內(nèi)部實(shí)施。但有一些程序設(shè)計(jì)方法可有助于防止應(yīng)用程序中的SQL注入攻擊漏洞，如使用所謂的綁定變量(bind variable)或者使用參數(shù)進(jìn)行查詢等。

Markovich說(shuō),在Java等語(yǔ)言中,這就意味著在SQL語(yǔ)句中將問(wèn)號(hào)用作占位符,并將“接收”值與這些占位符綁定。另外一種方法是避免顯示某些數(shù)據(jù)庫(kù)錯(cuò)誤消息,目的是避免將可能敏感的信息透露給潛在的攻擊者。

6.竊�。ㄎ醇用艿模﹤浞荽艓�

如果備份磁帶在運(yùn)輸或倉(cāng)儲(chǔ)過(guò)程中丟失，而這些磁帶上的數(shù)據(jù)庫(kù)數(shù)據(jù)又沒(méi)有加密的話，一旦它落于罪惡之手，這時(shí)黑客根本不需要接觸網(wǎng)絡(luò)就可以實(shí)施破壞。

但這類攻擊更可能發(fā)生在將介質(zhì)銷售給攻擊者的一個(gè)內(nèi)部人員身上。只要被竊取的或沒(méi)有加密的磁帶不是某種Informix或HP-UX 上的DB2等較老的版本，黑客們需要做的只是安裝好磁帶，然后他們就會(huì)獲得數(shù)據(jù)庫(kù)。

Julian說(shuō)，“當(dāng)然，如果不是一種受內(nèi)部人員驅(qū)動(dòng)的攻擊，它就是非主要的�！彼f(shuō)，同樣的原因，閃盤也是另外一種風(fēng)險(xiǎn)。

除了沒(méi)有對(duì)備份介質(zhì)上的數(shù)據(jù)進(jìn)行加密等明顯的預(yù)防措施，一些單位并沒(méi)有一直將標(biāo)簽貼在其備份介質(zhì)上�！叭藗儌浞萘嗽S多數(shù)據(jù)，但卻疏于跟蹤和記錄�！盰uhanna說(shuō)，“磁帶容易遭受攻擊，因?yàn)闆](méi)有人會(huì)重視它，而且企業(yè)在多數(shù)時(shí)間并不對(duì)其加密�！�

本新聞共3頁(yè),當(dāng)前在第3頁(yè) 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费