编辑推荐语:
* 从零开始搭建MySQL渗透测试及分析环境
* 通过案例分析MySQL攻防思路和安全措施
* 梳理MySQL数据库安全维护的技巧和方法
当今社会,技术和知识的水平决定了个人发展的高度。知识改变生活,知识改变命运。知识需要沉淀,技术更需要沉淀。近年来,网络安全成为一个热门话题,很多高校单独开设了网络安全专业,很多企业开始创建网络安全培训学院。然而,如何指引有计算机基础的人进入网络安全领域,学习网络安全知识,尚无很好的方法。在笔者20余年的工作经历中,也参加过大大小小的网络安全培训,但真正从中学到的东西不多,很多知识都是“听起来很美”,要落到实处却不那么容易。此前几本网络攻防实战研究图书的出版,让笔者及团队积累了很多网络安全图书写作方面的经验。说实话,写书是一件辛苦的事,需要耗费很多时间和精力。为了能将实践经验与理论结合起来,从安全总体架构的角度设计网络安全知识体系,让经过正规本科、研究生学习的读者能够通过阅读本书节省从头开始学习的时间,快速上手,从而有更多的时间从事前沿研究,我们费尽心思,几易其稿。
数据库是信息系统的核心,存储着大量高价值的业务数据和客户信息。在众多黑客攻击案例中,数据库一直是黑客攻击的终极目标。因此,数据库攻防研究已经成为企事业单位信息安全工作的重点和难点。在数据库应用中,最为普及的是MySQL,但专门讲解MySQL安全知识的图书凤毛麟角。目前,大量电子商务、电子政务、生活类App等都在使用MySQL数据库,然而,MySQL数据库作为Web后台,曾多次暴露出能够被黑客利用的严重安全漏洞。本书从MySQL渗透测试基础、MySQL手工注入分析与安全防范、MySQL工具注入分析与安全防范、MySQL注入Payload原理分析、phpMyAdmin漏洞利用分析与安全防范、MySQL高级漏洞利用分析与安全防范、MySQL提权漏洞分析与安全防范、MySQL安全加固八个方面,对MySQL数据库攻防技术进行全方位研究和分析,实用性强。
本书既可以作为企事业单位的网络安全参考资料,也可以作为大专院校网络安全相关专业的教材。
本章着重介绍MySQL的相关基础知识,包括如何搭建与MySQL相关的漏洞测试平台,在使用MySQL的过程中碰到的常见问题及解决方法,以及MySQL数据库的数据处理、导入/导出和密码破解等。本章首先对MySQL手工注入攻击的基础知识进行介绍,然后详细、系统地分析MySQL手工注入的语法、手段、方式等,并通过案例介绍如何防范攻击者通过MySQL手工注入获取WebShell及服务器的权限。本章着重介绍sqlmap、Havij、WebCruiser等注入工具在不同场景中的典型应用,以及如何利用Metasploit(msf)等对MySQL进行渗透测试。在本章的示例中,对漏洞利用思路进行了总结,供读者在实际渗透测试中参考和借鉴。攻击者从一次成功的SQL注入攻击中能够获得很多信息,这些信息可以是直接显示在页面上的数据,也可以是通过对页面异常或页面响应时间进行判断得到的结果。通过阅读本章的内容,希望读者能够掌握MySQL注入Payload的攻击和防御思路,充实自己的网络安全“武器库”。phpMyAdmin是一个以PHP为基础、以Web-Base方式部署在网站主机上的MySQL数据库管理工具,可以使网站管理人员通过Web接口管理MySQL数据库。当然,phpMyAdmin在给MySQL数据库管理带来便利的同时,也有可能给所在系统带来安全风险。本章将对phpMyAdmin漏洞进行专题分析,并给出相应的安全防范建议。本章主要对MySQL数据库相关高级漏洞进行分析,并给出安全防范建议,供读者参考和借鉴。MySQL数据库是目前最为流行的数据库软件之一,很多常见的网站架构都会使用MySQL,例如LAMPP等,同时,很多流行的CMS使用MySQL+PHP架构。MySQL主要在Windows和Linux操作系统中安装和使用,因此,如果攻击者获得了root权限,就极有可能通过一些工具软件和技巧获取系统的最高权限。本章将对MySQL提权漏洞进行专题分析,并给出相应的安全防范建议。本章将介绍如何对PHP+MySQL+IIS架构进行安全配置,如何进行MySQL用户管理和权限管理,如何安全地配置MySQL数据库,以及如何对MySQL进行安全加固等。
主编介绍
祝烈煌
北京理工大学计算机学院副院长,网络与信息安全学科方向责任教授,博士生导师。教育部新世纪优秀人才,长期从事网络与信息安全方面的研究工作,承担国家和省部级科研项目10余项。出版外文专著1本,发表SCI/EI检索学术论文90余篇。获国家发明专利6项,省部级科技奖励1项。
董健
毕业于中国人民公安大学,计算机物证专业博士。任职于公安部第三研究所、公安部网络技术研发中心、信息网络安全公安部重点实验室、国家反计算机入侵和防病毒研究中心,从事网络案件侦查、电子证据勘验鉴定、公安网络安全科研工作10余年。
胡光俊
公安部第一研究所信息安全部副主任,副研究员。中央网信办网络应急组专家,公安部科技信息化、保密技术专家,在将大数据应用于网络安全、大型专网纵深防御等方面具有丰富的经验。
陈小兵
高级工程师,北京理工大学博士在读,拥有丰富的信息系统项目经验及20年以上的网络安全经验,主要从事网络攻防技术及安全体系建设方面的研究。已出版图书《SQL Server 2000培训教程》《黑客攻防及实战案例解析》《Web渗透及实战案例解析》《安全之路:Web渗透及实战案例解析(第2版)》《黑客攻防:实战加密与解密》《网络攻防实战研究:漏洞利用与提权》。51CTO网站专栏作者,技术专家,讲师,个人专栏访问量超过800万人次。
蒋劭捷
网络ID“Sherlock”。毕业于北京邮电大学信息安全专业,工学硕士,奇虎360信息安全部安全研究员。知名白帽子,活跃于多个漏洞平台及安全应急响应中心,主要研究方向为Web安全、攻击检测。曾负责360天眼WebIDS、NGSOC等产品的攻击检测部分的开发,对Web攻防有独到见解。
张胜生
信息安全讲师,网络安全专家,研究生导师,现任北京中安国发信息技术研究院院长。翻译《CISSP认证考试指南(第6版)》,主持开发设计中国信息安全认证中心CISAW认证应急服务方向课程体系和实操考试平台,曾获中国信息安全攻防实验室产品实战性和实用性一等奖。
在计算机世界里,数据库可能是最重要的发明之一,它让计算机程序可以高效地管理和使用数据。在互联网诞生之前,科学家就发明了数据库。如果说计算是生产力,数据是生产资料,那么数据库就是生产资料最重要的载体。现今,互联网世界每一个系统的运转,几乎都离不开数据库,我们在微信上的每一次聊天、在淘宝上的每一笔交易,甚至我们每次出行时都要刷的公交卡,背后都有数据库的支撑。
在程序员们创造的所有数据库中,MySQL是当下流行的一个,它随着互联网的普及蓬勃发展。作为一个数据库,MySQL有优秀的开源版本,这让程序员能够很好地掌握它的特性。同时,MySQL比Oracle“轻”,比SQL Server“开放”。在广受程序员欢迎的LAMP架构(Linux+Apache+ MySQL+PHP)中,MySQL是举足轻重的一环。LAMP架构几乎撑起了互联网的半壁江山,深受站长们的喜爱。然而,正由于LAMP架构太受欢迎,黑客们也热衷于研究它的漏洞——这就是我们需要认真研究MySQL安全性的重要出发点——只有比黑客更了解MySQL的安全特性,才能有效地保护它。MySQL是关系型数据库的代表。尽管随着技术的发展,我们有了更多的选择——除了关系型数据库,还出现了很多非关系型的轻量级数据库,例如倍受欢迎的MongoDB、Redis等,同时,在大数据领域出现了HBase等产品——但是,这些新技术的出现是为了解决新问题的,我们更应该将其视为对现有技术架构的有益补充,让它们与MySQL相辅相成。在被Oracle收购后,MySQL除了获得更多的资金与活力,也在云计算的浪潮下开始尝试采用分布式解决方案,而这将为它的长远发展奠定基础。本书的作者之一陈小兵,曾经在一个称得上“孤军奋战”的环境里坚持网络安全技术研究,且硕果累累。这本书是他对MySQL安全经验的总结,充满了实战味儿。我也有幸能和他一起工作。在工作中,我深深地被他的敬业精神打动。他一丝不苟的品质和负责任的态度,相信读者们也能从本书中深切地感受到。
-----吴翰清
自2015年以来,数据变得尤为重要——企业需要拥有强大的数据库,个人想建立属于自己的数据库。然而,数据库安全是基线,是核心。从事网络安全十几年来,第一次看到蒋劭捷及其团队,以做学问的方式对MySQL数据库的各种渗透场景进行研究、分析和再现。作者团队在这本书中不仅分享了MySQL数据库操作的基础知识,工具注入及手工注入方面的技巧,以及独到的渗透测试及安全加固、优化经验等,还详细讲述了在MySQL数据库配置和维护各个阶段经常遇到的安全问题和技术挑战,以及MySQL数据库渗透测试中的一些高级应用。本书内容皆为实践经验总结,深度挖掘和解析了MySQL数据库的安全特性,系统全面地讨论了MySQL安全攻防,内容极具指导意义。正如“神话行动”所倡导的:理论是基础,实践是能力。本书作者之一蒋劭捷是“神话行动”的学员之一,热衷于安全技术的学习、沉淀、实战和分享,进步迅速。本书内容由浅入深,有基础,有理论,更有实战,是一本值得推荐的MySQL安全图书。
-----王英键(呆神) 未来安全CEO,XCon创始人,“神话行动”创始人
认识Simeon(陈小兵)是因为在网上看到他写的技术文章,后来才知道他从2005年开始就在网上发表安全技术博客文章。Simeon是安全行业的一名老兵,从他的文章中可以看出,他能将复杂的安全技术由浅入深、循序渐进地讲清楚,所以,我决定邀请他来我组织的DEFCON GROUP 010做技术分享。我也写过几本书,深知图书作者不仅需要深入理解自己要讲解的内容,还需要具备把自己要讲解的内容用读者能够读懂的文字表达出来的能力,这些考验的是耐心和经验。Simeon坚持写作技术文章十几年,坚持分享自己从实际工作中总结出来的心得体会,这不仅体现出他的耐心,更体现出他乐于分享的态度。本人所在的360独角兽团队主要研究无线安全、硬件安全、智能汽车安全等前沿领域,但就目前的情况看,在大部分网络攻击事件中,攻击者的终极目标都是数据,所以,我们在对前沿领域保持关注的同时,也对数据库漏洞这种影响范围广且受到攻击时“刀刀见血”的基础领域进行了深入、扎实的研究。事实上,当前对互联网和信息系统的使用,本质上还是对数据的保存、传输和处理,每个热门的网络安全领域都无法回避数据安全这个话题,IoT安全、云计算云安全、AI安全、移动安全……每个领域都需要对数据进行保护。例如,一套IoT控制系统的数据库中的数据被篡改,就可能对物理安全产生影响。懂技术的人很多,能把技术讲清楚的人却很少。Simeon已经出版了多本网络安全图书,足见他在写作和“讲故事”方面的能力和经验,所以,相信本书会是一部“把复杂的技术讲简单”的优秀作品。本书由浅入深地对MySQL数据库进行了透彻的安全分析,同时辅以丰富的示例,帮助读者加深理解,有理论,有实践。相信读者在阅读本书后,能将本书内容应用到实际工作中,甚至将书中讨论的攻防思路扩展应用到其他数据库系统中。
-----李均(selfighter) 360独角兽团队研究员,DEFCON GROUP 010发起人
网络安全已上升到国家战略高度。作为网络安全从业者,我们的使命感和责任感也越来越强。网络攻防技术的发展伴随着计算机技术的发展,始终在不断变化。内外部环境的变化使企业数据安全保护变得越来越重要,对数据的使用要求也越来越严格。因此,网络安全从业者需要不断学习,保持对技术的专注。本书着眼于MySQL数据库安全,凝结了小兵大量的心血和宝贵经验,通过丰富的示例和经验总结,帮助安全从业人员和数据库工作者了解常见的攻击方式和防范原理,适合广大网络安全爱好者学习。行百里者半九十。网络安全的探究之路没有终点,小兵和他的团队始终在一线探索和实践,并乐于分享他们的研究成果,在改善网络安全环境、提升网络安全防护水平方面做出了贡献,值得我们学习。期待小兵和他的团队将这种分享精神保持下去,为我们带来更多、更好的网络安全著作。
-----罗诗尧 微博安全总监
从最初研究网络攻防技术开始,我一直热衷于各种网络安全技术和管理方法的学习。在过去十多年里,各种各样的网络攻防技术让我认识到网络空间安全的重要性。不知攻,焉知防,要想做好安全防护,就应该了解和掌握攻击的基本原理及危害。数据库在企业业务中的重要性不言而喻,其安全性尤为重要。在近几年发生的大量网络安全事件中,数据库漏洞导致大规模公民隐私和企业核心数据泄露的案例屡见不鲜。因此,本书的出版正逢其时。本书由浅入深、循序渐进地对MySQL数据库的安全问题和加固方法进行了全面的总结,语言平实易懂、内容翔实、图文丰富,可以帮助广大网络安全研究者全方位地了解MySQL数据库的各类安全漏洞和防御方法,是一本值得推荐的网络安全技术读物。愿您有一个愉快的阅读体验,并通过本书打开数据库安全这扇大门。愿书中的知识和作者的研究成果能够帮助您,让企业的数据库稳如泰山。------施勇 博士,CISSP/CISA,(ISC)2上海分会主席,上海交通大学网络空间安全学院讲师
互联网的数据安全尤为重要,而MySQL是互联网中使用最广泛的数据库,因此,了解MySQL数据库的攻击与防御成为数据库管理员的一项必备技能。本书是从安全研究人员的角度编写的。作者将理论和实践结合起来,展示了MySQL数据库网络攻防的相关内容。细细看完书中的案例,感觉从零开始构建一个数据库系统,需要注意的安全要点非常多,书中的案例值得我们花时间好好研究和分析。希望MySQL开发人员、MySQL数据库管理员,以及从事MySQL相关工作的人,能够通过研读本书,举一反三,加固自己的数据库。数据安全的世界如此美妙。作为一名MySQL从业人员,我希望未来能有更多的人关注数据安全,为中国的数据安全护航。
-----吴炳锡 知数堂联合创始人,3306π社区创始人
我是一名网络安全与执法专业的老师,关注网络犯罪侦查与电子数据取证。几年的专业教学让我体会到,网络空间安全技术这门新兴学科,知识体系的构建实属不易,更别提亲手实践、梳理并形成书稿了——这必然是一个耗尽脑力、心力和体力的过程。在我开设的数据库原理与应用课程中,作为应用最广泛的关系型数据库系统,与MySQL相关的内容是不可或缺的,然而,如何对针对MySQL数据库的攻击进行调查取证、如何进行MySQL数据库的日常安全检查等内容,学生们很难从体系化的教材中学习到。本书正可以解决我们教学中的难题。本书聚焦于MySQL数据库攻击与防御,有三大特点:一是实,二是专,三是深。本书有很高的实践价值,实用性和实战性强,既能实实在在解决问题,又能对一个领域进行全面深入介绍且兼具理论和实践。
-----张璇 山东警察学院
互联网+时代,尽管信息化、数字化、智能化成为常态,但其本质还是数据驱动的时代,数据仍在企业的发展和创新过程中扮演着重要角色。而数据库作为数据存储的集合,重要性不言而喻,是重要的安全防护对象。本书由浅入深讲解了MySQL数据库的基础理论、安全漏洞和加固方案,同时辅以案例,加深读者对技术的理解,相信不论是安全从业人员还是安全技术爱好者,都能从本书中获益。
-----肖茂林 顺丰SRC负责人
当前,数据隐私变得越来越重要。网络数据泄露事件愈演愈烈,严重影响社会生活及金融支付安全。数据库作为网络世界存储数据的基础组件,其自身的安全性受到越来越多的重视,成为企事业单位网络安全体系建设中不可或缺的一环。MySQL作为应用范围和使用人群最广的开源数据库,在数据存储中扮演着重要的角色。了解攻才能懂得防。本书作为一本专门讲解MySQL数据库安全攻防的专业书籍,详细介绍了MySQL在应用中面临的各种安全风险,并结合案例进行具体分析,在具有技术可读性的同时,提高了可操作性。
本着务实的精神,本书从多个维度对MySQL数据库安全相关内容进行了生动的讲解。难能可贵的是,本书还从专业的角度给出了案例分析。本书是信息安全从业人员、在校大学生不可多得的一本实用大全,读者完全可以依据书中的案例进行深入学习,获得模拟实际工作场景的机会。
-----陈亮 OWASP中国北京负责人
本书是国内第一本MySQL数据库安全攻防技术图书。我见证了作者从提出写作思路到完稿的全过程:在一年多的时间里,从章节设计、内容选择、验证测试,到斟字酌句、校对审核,中间几易其稿,最终完成了这部MySQL数据库安全攻防经典之作。本书针对MySQL数据库安全的专业技术,从MySQL数据库的安装到应用、从手工注入到工具渗透测试、从攻击思路分析到安全架构,进行了详细的说明。本书不仅能为新手指明学习道路,也能帮助资深网络安全爱好者查缺补漏。相信本书一定不会辜负您对它的期待!
-----杨永清 天融信安全副总监
伴随着互联网的爆炸式发展,网络安全已上升到国家战略层面,网络安全能力建设得到了高度重视。红日安全是一个专注网络安全和移动安全的技术型、研究型团队,小兵老师正是红日安全团队的核心研究员。一口气读完这本书,感觉书中总结了不少常见的MySQL数据库安全测试思路和加固方案,非常适合网络安全初学者及有一定基础的读者阅读。
-----小峰 红日安全
绝大多数互联网公司的核心用户数据都存储在数据库中,数据库已经直接或间接成为黑客攻击的重点。伴随倒卖个人信息的黑色产业链的迅猛发展,利用Web漏洞、内外勾结等方式窃取互联网公司的个人数据用于黑市交易的事件屡见不鲜。因此,数据库安全已经成为甲方安全中无法回避的一项重要工作。本书全面介绍了MySQL数据库安全的相关内容,是一本难得的实战指导书籍。
-----兜哥 百度安全实验室AI安全负责人
本书以MySQL数据库安全为主题,是作者多年实战经验的沉淀,对网络安全行业具有指导意义。翻阅本书目录,回忆起2000年年初学习攻防技术的点滴,当时若有这样一本既包含系统总结又不忘点拨技巧的书籍,我定然视若珍宝。
-----傅烨文(wuly) 上海境领科技有限公司董事长、CEO,丁牛团队创始人
本书全面介绍了与MySQL数据库相关的攻防技术。正所谓“授人以鱼不如授人以渔”,我认为,本书是一本不可多得的MySQL数据库安全百科全书。
-----石祖文 华为云安全首席安全专家
本书的目的绝不是为那些怀有不良动机的人提供支持,也不承担因为技术被滥用所产生的连带责任。本书的目的是最大限度地唤醒读者对网络安全的重视,并采取相应的安全措施,从而减少由网络安全漏洞造成的经济损失。由于笔者水平有限,加之时间仓促,书中疏漏之处在所难免,恳请广大读者批评指正。在阅读本书的过程中,如果读者遇到问题或有任何意见,都可以发邮件至365028876@qq.com与作者直接联系。读者也可加入陈小兵读者交流QQ群(435451741)进行沟通和交流。
点击“点赞”和“收藏”,还有转发,三者缺一不可哦!最后修改时间:2021-09-08 11:14:38
文章转载自
SecPulse安全脉搏,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
