| Oracle的銷售在向客戶兜售其數據庫系統一直把它吹捧為牢不可破的,耍嘴皮子容易,兌現起來可就不那么容易了。不管什么計算機系統,人們總能夠找到攻擊它的方法,Oracle也不例外。本文將和大家從黑客的角度討論黑客是用哪些方法把黑手伸向了你原以為他們不能觸及的數據,希望作為Oracle的數據庫管理員能夠清楚的闡明自己基礎架構的哪些區域比較容易受到攻擊。同時我們也會討論保護系統防范攻擊的方法。
1.SQL注入攻擊 如今大部分的Oracle數據庫都具有為某種類型網絡應用服務的后端數據存儲區,網頁應用使數據庫更容易成為我們的攻擊目標體現在三個方面。其一,這些應用界面非常復雜,具有多個組成成分,使數據庫管理員難以對它們進行徹底檢查。其二,阻止程序員侵入的屏障很低,即便不是C語言的編程專家,也能夠對一些頁面進行攻擊。下面我們會簡單地解釋為什么這對我們這么重要。第三個原因是優先級的問題。網頁應用一直處于發展的模式,所以他們在不斷變化,推陳出新。這樣安全問題就不是一個必須優先考慮的問題。 SQL注入攻擊是一種很簡單的攻擊,在頁面表單里輸入信息,悄悄地加入一些特殊代碼,誘使應用程序在數據庫里執行這些代碼,并返回一些程序員沒有料到的結果。例如,有一份用戶登錄表格,要求輸入用戶名和密碼才能登錄,在用戶名這一欄,輸入以下代碼: cyw'); select username, password from all_users;-- 如果數據庫程序員沒有聰明到能夠檢查出類似的信息并“清洗”掉我們的輸入,該代碼將在遠程數據庫系統執行,然后這些關于所有用戶名和密碼的敏感數據就會返回到我們的瀏覽器。 你可能會認為這是在危言聳聽,不過還有更絕的。David Litchfield在他的著作《Oracle黑客手冊》(Oracle Hacker's Handbook)中把某種特殊的pl/sql注入攻擊美其名曰:圣杯(holy grail),因為它曾通殺Oracle 8到Oracle10g的所有Oracle數據庫版本。很想知道其作用原理吧。你可以利用一個被稱為DBMS_EXPORT_EXTENSION的程序包,使用注入攻擊獲取執行一個異常處理程序的代碼,該程序會賦予用戶或所有相關用戶數據庫管理員的特權。 這就是Oracle發布的著名安全升級補丁Security Alert 68所針對的漏洞。不過據Litchfield稱,這些漏洞是永遠無法完全修補完畢的。 防范此類攻擊的方法 總而言之,雖說沒有萬能的防彈衣,但鑒于這個問題涉及到所有面向網絡的應用軟件,還是要盡力防范。目前市面上有各式各樣可加以利用的SQL注入檢測技術。可以參照http://www.securityfocus.com/infocus/1704 系列文章的詳細介紹。 還可以用不同的入侵檢測工具在不同的水平上檢測SQL注入攻擊。訪問專門從事Oracle安全性研究的Pete Finnigan的安全網站http://www.petefinnigan.com/orasec.htm,在該網頁搜索“sql injection”,可以獲得更多相關信息。Pete Finnigan曾在其博客上報告稱Steven Feurstein目前正在編寫一個稱為SQL Guard 的pl/sql程序包,專門用來防止SQL注入攻擊,詳情請查看以下網頁http://www.petefinnigan.com/weblog/archives/00001115.htm。 對于軟件開發人員來說,很多軟件包都能夠幫助你“清洗”輸入信息。如果你調用對從頁面表單接受的每個值都調用清洗例行程序進行處理,這樣可以更加嚴密的保護你的系統。不過,最好使用SQL注入工具對軟件進行測試和驗證,以確保萬無一失。 1. 默認密碼 Oracle數據庫是一個龐大的系統,提供了能夠創建一切的模式。絕大部分的系統自帶用戶登錄都配備了預設的默認密碼。想知道數據庫管理員工作是不是夠勤奮?這里有一個方法可以找到答案。看看下面這些最常用的預設用戶名和密碼是不是能夠登錄到數據庫吧: Username Password applsys apps ctxsys change_on_install dbsnmp dbsnmp outln outln owa owa perfstat perfstat scott tiger system change_on_install system manager sys change_on_install sys manager |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
