7.oracle安全-讲义.pdf
10墨值下载
1 数据库安全
1.1 数据库所面临的十大安全威胁
1.1.1 威胁 1 - 滥用过高权限
当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时,
这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学
生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。
1.1.2 威胁 2 - 滥用合法权
用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务
人员拥有可以通过自定义 web 应用程序查看单个患者病历的权限。通常情况下,
该 web 应用程序的结构限制用户只能查看单个患者的病史,即无法同时查看多
个患者的病历并且不允许复制电子副本。但是,恶意的医务人员可以通过使用其
他客户 端(如 ms-excel)连接到数据库,来规避这些限制。通过使用 ms-excel 以
及合法的登录凭据,该医务人员就可以检索和保存所有患者的病历。
这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患
者数据保护策略。要考虑两 点风险。第一点是恶意的医务人员会将患者病历用
于金钱交易。第二点可能更为常见,即员工由于疏忽将检索到的大量信息存储在
自己的客户端计算机上,用于合法 工作目的。一旦数据存在于终端计算机上,
就可能成为特洛伊木马程序以及笔记本电脑盗窃等的攻击目标。
1.1.3 威胁 3 - 权限提升
攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权
限。漏洞可以在存储过程、 内置函数、协议实现甚至是 sql 语句中找到。例如,
一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使
用管理权限,恶意的开发人员可以禁用审计机制、开设伪 造的帐户以及转帐等。
1.1.4 威胁 4 - 平台漏洞
底层操作系统(windows 2000、unix 等)中的漏洞和安装在数据库服务器上
的其他服务中的漏洞可能导致未经授权的访问、数据破坏或拒绝服务。例如,“冲
击波病毒”就是利用了 windows 2000 的漏洞为拒绝服务攻击创造条件。
1.1.5 威胁 5 - sql 注入
在 sql 注入攻击中,入侵者通常将未经授权的数据库语句插入(或“注入”)
到有漏洞的 sql 数 据信道中。通常情况下,攻击所针对的数据信道包括存储过
程和 web 应用程序输入参数。然后,这些注入的语句被传递到数据库中并在数
据库中执行。使用 sql 注入,攻击者可以不受限制地访问整个数据库。 防止 sql
注入将以下三个技术结合使用可以有效地抵御 sql 注入:入侵防御系统(ips)、查
询级别访问控制(请参阅“滥用过高权限”)和事件相关。 ips 可以识别有漏洞
的存储过程或 sql 注入字符串。但是,单独使用 ips 并不可靠, 因为 sql 注入字
符串很容易发生误报。如果只依赖 ips,安全管理人员会发现大量“可能的”sql
注入警报,被搞得焦头烂额。
1.1.6 威胁 6 - 审计记录不足
自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的
一部分。如果数据库审计策略不足,则组织将在很多级别上面临严重风险。
1.1.7 威胁 7 - 拒绝服务
拒绝服务 (dos)是一个宽泛的攻击类别,在此攻击中正常用户对网络应用程
序或数据的访问被拒绝。可以通过多种技巧为拒绝服务 (dos)攻击创造条件,其
中很多都与上文提到的漏洞有关。例如,可以利用数据库平台漏洞来制造拒绝服
务攻击,从而使服务器崩溃。其他常见的拒绝服务攻击 技巧包括数据破坏、网
络泛洪和服务器资源过载(内存、cpu 等)。资源过载在数据库环境中尤为普遍。
1.1.8 威胁 8 - 数据库通信协议漏洞
在所有数据库供应商的数据库通信协议中,发现了越来越多的安全漏洞。在
两个最新的 ibmdb2 fix pack 中,七个安全修复程序中有四个是针对协议漏洞 1。
同样地,最新的 oracle 季度补丁程序所修复的 23 个数据库漏洞中有 11 个与
协议有关。针对这些漏洞的欺骗性活动包括未经授权的数据访问、数据破坏以及
拒绝服务。例如, sql slammer2 蠕虫就是利用了 microsoft sql server 协议中的漏
洞实施拒绝服务攻击。更糟糕的是,由于自身数据库审计机制不审计协议操作,
所以在自身审计记录中不存在这些欺骗性活动的记录。
1.1.9 威胁 9 - 身份验证不足
薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据,从而获
取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。
of 68
10墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论