亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

登錄論壇 | 注冊會員 設為首頁 | 收藏本站
當前位置 : 首頁>軟件學院>網絡技術>黑客攻防>正文
 
六大數據庫攻擊手段

http://www.yibo1263.com 2008-9-19 9:23:34  來源:東北IT網  編輯:葉子
 


特權提升通常更多地與錯誤的配置有關:一個用戶被錯誤地授與了超過其實際需要用來完成工作的、對數據庫及其相關應用程序的訪問和特權。

Forrester的Yuhanna說,“這是一個控制問題。有時一個企業(yè)并沒有提供哪些人員需要訪問何種資源的良好框架結構,而且通常情況下,數據庫管理員并沒有從業(yè)務上理解企業(yè)的數據。這是問題之一!

而且,有時一個內部的攻擊者(或者一個已經控制了受害人機器的外部的家伙)可以輕松地從一個應用程序跳轉到數據庫,即使他并沒有這個數據庫的相關憑證也可以如此。Yuhanna 說,“一個非特權用戶可以試著連接到數據庫,只要他可以訪問一個系統(tǒng),如CRM,他就可以用同樣的口令通過檢查,即使他沒有獲得此數據庫的授權。有些控制并沒有實現很好的集中化。”

Sentrigo的Markovich近來能夠通過一個擁有少量特權的用戶賬戶攻入一個客戶的數據庫。Markovich說,“他們要求我攻入其數據庫。我找到了一個少量特權的用戶口令,然后就進入了系統(tǒng)。然后我檢查了他的特權,他擁有對數據庫的只讀性訪問,因此一個少量特權的用戶可以訪問讀取數據庫內的任何表,包括信用卡信息、個人信息。因此,我說:‘我不需要攻入數據庫!

專家們說,經驗法則應當說是僅給用戶所需要的數據庫訪問和權力,不要有更多的東西。

還有那些擁有合法訪問的特權用戶,他們頭腦中可能并沒有合法的操作。“你如何控制訪問呢?這個領域也正在開始演化!

3.利用未用的和不需要的數據庫服務和功能中的漏洞

當然,一個外部的攻擊者會尋找較弱的數據庫口令,看其潛在的受害人是否在運行其Oracle數據庫上運行監(jiān)聽程序(Listener)功能。監(jiān)聽程序可以搜索出到達Oracle數據庫的網絡連接,并可以轉發(fā)此連接,這樣一來就會將用戶和數據庫的鏈接暴露出來。

只需采用一些Google hacking攻擊,一位攻擊者就可以搜索并找到數據庫服務上暴露的監(jiān)聽程序。Markovich 說,“許多客戶并沒有在監(jiān)聽程序上設置口令,因此,黑客就可以搜索字符串并找出Web上活動的監(jiān)聽程序。我剛才搜索了一下,發(fā)現有一些可引起人們注意的東西,如政府站點。這確實是一個大問題。”

其它的特性,如操作系統(tǒng)和數據庫之間的鉤子可以將數據庫暴露給攻擊者。這種鉤子可以成為達到數據庫的一個通信鏈接。Yuhanna說,“在你鏈接庫和編寫程序時…那將成為與數據庫的界面,”你就是在將數據庫暴露出去,并可能在無認證和無授權的情況下讓黑客進入內部。

通常,數據庫管理員并沒有關閉不需要的服務。Julian 說,“他們只是任其開著。這種設計過時且管理跟不上,這是讓其發(fā)揮實際作用的最簡單方法。不需要的服務在基礎結構中大搖大擺地存在,這會將你的漏洞暴露在外!

關鍵是要保持數據庫特性的精簡,僅安裝你必須使用的內容。別的東西一概不要。Markovich說,“任何特性都可被用來對付你,因此只安裝你所需要的。如果你并沒有部署一種特性,你就不需要以后為它打補丁!

4.針對未打補丁的數據庫漏洞

好消息是Oracle和其它的數據庫廠商確實在為其漏洞打補丁。壞消息是單位不能跟得上這些補丁,因此它們總是處于企圖利用某種機會的老謀深算的攻擊者控制之下。

數據庫廠商總是小心翼翼地避免披露其補丁程序所修正的漏洞細節(jié),但單位仍以極大的人力和時間來苦苦掙扎,它會花費人力物力來測試和應用一個數據庫補丁。例如,給程序打補丁要求對受補丁影響的所有應用程序都進行測試,這是項艱巨的任務。

Yuhanna 說,“最大問題是多數公司不能及時安裝其程序補丁,一家公司告訴我,他們只能關閉其數據庫一次,用六小時的時間打補丁,它們要冒著無法打補丁的風險,因為它們不能關閉其操作!

Markovich說,在今天正在運行的多數Oracle數據庫中,有至少10到20個已知的漏洞,黑客們可以用這些漏洞攻擊進入。他說,“這些數據庫并沒有打補丁,如果一個黑客能夠比較版本,并精確地找出漏洞在什么地方,那么,他就可以跟蹤這個數據庫!

本新聞共3頁,當前在第2頁  1  2  3  

 
收藏】【打印】【進入論壇
  相關文章:

 
 
 
 
最新文章

中關村艷照門女主角詳記錄高清組圖 
大連護士門大尺度艷照高清組圖
iPhone女孩微博爆紅 最寶貴東西換iPhon
反恐精英之父內維爾:改變電腦游戲銷售
團購網站黎明之前:中國市場慘烈廝殺不
團購鼻祖Groupon中國揭秘:快與慢的商業(yè)
Spil Games發(fā)布新的品牌形象
1800配置一臺主機 不要顯示器
聯想V360筆記本模特寫真
愛國者第四代移動硬盤將面市、低電壓保

 
推薦文章
1
2
3
4
5
6
7
8
9
10
iPhone女孩微博爆紅 最寶貴東西換
大連護士門大尺度艷照高清組圖
中關村艷照門女主角詳記錄高清組
蘋果員工中毒門
宮如敏不雅照瘋傳 看張馨予韓一菲
深耕市場 永續(xù)經營——專訪百腦匯
優(yōu)派專業(yè)電子書 讓您回家旅途多姿
揭曉百萬大獎三星bada魅力綻放中
大明龍權“江湖英雄會”全國PK大
永恒之塔校園達人挑戰(zhàn)賽完美落幕
八卦圖解 More>>
iPhone女孩微博爆紅 最寶貴東西換 大連護士門大尺度艷照高清組圖
中關村艷照門女主角詳記錄高清組 宮如敏不雅照瘋傳 看張馨予韓一菲
临沧市| 绥化市| 宜春市| 河池市| 莲花县| 永城市| 垫江县| 义乌市| 赤壁市| 曲松县| 马龙县| 龙州县| 饶平县| 都兰县| 堆龙德庆县| 沛县| 鞍山市| 西平县| 永城市| 乌拉特中旗| 交城县| 敦煌市| 齐齐哈尔市| 香港| 普兰店市| 舒城县| 韶山市| 蓬溪县| 渝中区| 两当县| 平武县| 敦化市| 和顺县| 阿拉尔市| 金门县| 花莲县| 扎鲁特旗| 蒲江县| 丰顺县| 肥城市| 玉树县|