您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >跳出假日陰影,企業(yè)需提防9大數(shù)據(jù)庫漏洞?
這些漏洞存在的主要原因在于數(shù)據(jù)庫本身并沒有進(jìn)行全面安全防護(hù),并且服務(wù)器配置還需要數(shù)據(jù)庫管理員根據(jù)企業(yè)要求重新進(jìn)行配置。企業(yè)必須對數(shù)據(jù)庫進(jìn)行評估來確定某些功能是否真的必要,以及禁用那些不需要的功能來減少攻擊面。此外,企業(yè)必須對默認(rèn)設(shè)置或者較弱的登錄憑證時刻保持警惕,必須部署完善的特權(quán)和身份驗證措施,最重要的是,企業(yè)需要定期修復(fù)補(bǔ)丁。在所發(fā)現(xiàn)的漏洞中,有將近一半的漏洞或直接或間接地與數(shù)據(jù)庫環(huán)境內(nèi)不適當(dāng)?shù)难a(bǔ)丁修復(fù)管理有關(guān)。這是很恐怖的概念:在前三個月補(bǔ)丁修復(fù)周期內(nèi),只有38%的管理員修復(fù)企業(yè)的Oracle數(shù)據(jù)庫,并且只有三分之一的管理員花費(fèi)一年或者更長時間進(jìn)行修復(fù)。
1. 默認(rèn)、空白和強(qiáng)度弱的用戶名或者密碼
在一個企業(yè)中,跟蹤數(shù)百或者甚至數(shù)千個數(shù)據(jù)庫可能是很艱巨的任務(wù),但是刪除默認(rèn)、空白以及強(qiáng)度弱的登錄憑證將是完善數(shù)據(jù)庫安全非常重要的第一個步驟。攻擊者們總是將注意力放在這些默認(rèn)帳戶上,必要的時候就能派上用場。
2. SQL注入攻擊
SQL注入攻擊是黑客對數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多,但是由于程序員的水平及經(jīng)驗也參差不齊,相當(dāng)大一部分程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是所謂的SQL Injection,即SQL注入。
3.廣泛的用戶和組特權(quán)
企業(yè)必須確保沒有將特權(quán)給那些不必要的用戶。安全專家建議,只有將用戶設(shè)置為組或者角色的一部分,然后通過這些角色來管理權(quán)限,這樣將比向用戶分配直接權(quán)利要更加易于管理。
4.啟用不必要的數(shù)據(jù)庫功能
每個數(shù)據(jù)庫安裝都會附帶各種類型各種大小的功能,并且大部分都不會被企業(yè)所使用。數(shù)據(jù)庫安全意味著減少攻擊面,企業(yè)需要審查這些數(shù)據(jù)庫功能,找出不必要或者不使用的功能,然后禁用或者卸載它們。這不僅能夠降低通過這些載體發(fā)動的零日攻擊的風(fēng)險,而且能夠簡化補(bǔ)丁修復(fù)管理,因為這些不必要的功能也需要進(jìn)行補(bǔ)丁修復(fù)。
5.糟糕的配置管理
同樣地,數(shù)據(jù)庫有很多不同的配置可供選擇,正確合適的配置將能夠幫助數(shù)據(jù)庫管理員提高數(shù)據(jù)庫性能和加強(qiáng)數(shù)據(jù)庫功能。企業(yè)需要找出不安全的配置(默認(rèn)情況下為啟用狀態(tài)或者為了方便數(shù)據(jù)庫管理員或者應(yīng)用程序開發(fā)人員而開啟的),然后重新進(jìn)行配置。
6.緩沖區(qū)溢出
另一個攻擊者喜歡的漏洞就是緩沖區(qū)溢出漏洞,這個漏洞是這樣被利用的,即大量輸入比應(yīng)用程序預(yù)期更多的字符,例如向請求SSN的輸入框增加100個字符。數(shù)據(jù)庫供應(yīng)商都在積極努力地修復(fù)這個漏洞,以避免發(fā)生這樣的攻擊,這也是為什么補(bǔ)丁修復(fù)如此重要的另一個原因。
7. 特權(quán)升級
同樣的,數(shù)據(jù)庫常常出現(xiàn)這樣的漏洞,允許攻擊者對鮮為人知或者低權(quán)限帳號進(jìn)行權(quán)限升級,然后獲取管理員權(quán)限。例如,攻擊者可能誤用sysdba下運(yùn)行的一個函數(shù)。 (服務(wù)器托管費(fèi)用)
8.拒絕服務(wù)攻擊
拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段之。其實對網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕?biāo)造成麻煩,使某些服務(wù)被暫停甚至主機(jī)死機(jī),都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決,究其原因是因為這是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。
9.未修復(fù)數(shù)據(jù)庫與未加密重要數(shù)據(jù)(靜態(tài)或者動態(tài)狀態(tài))
這一點(diǎn)可能與上述漏洞有些重復(fù),但是這值得再次重復(fù)。很多數(shù)據(jù)庫管理員并沒有及時修復(fù)補(bǔ)丁,因為他們害怕補(bǔ)丁修復(fù)程序?qū)茐乃麄兊臄?shù)據(jù)庫。但是現(xiàn)在,被攻擊的風(fēng)險比安裝可能會破壞數(shù)據(jù)庫的補(bǔ)丁要高得多,而這在五年前可能并不是這樣,但是供應(yīng)商現(xiàn)在已經(jīng)更加嚴(yán)格的進(jìn)行測試。
海騰公告海騰數(shù)據(jù)最新新聞公告
Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有 經(jīng)營性ICP/ISP證 備案號:B1-20180452 豫公網(wǎng)安備 41019702002018號 電子營業(yè)執(zhí)照