就下载 —— 安全下载、无毒手机软件、绿色软件官方下载网站最近更新|下载排行|热门标签|收藏本站

您现在的位置是:就下载 > IT资讯 > 软件教程 > 10个最常见的数据库缺陷

10个最常见的数据库缺陷

时间:2014-10-17 09:54:07 来源: 复制分享

10个最常见的数据库缺陷
保护数据库不是一件容易的事情,很多企业,包括数据库管理员在内,都存在侥幸心理,但黑客针对数据库本身存在的缺陷很容易得逞,本文是Appsec的安全团队公布的10个最常见的数据库缺陷,黑客经常利用它们发起攻击并得手,你,该引起注意了。
1、默认,空白和弱用户名/密码
如果你管理着数百甚至数千个数据库,要跟踪是否在使用默认,空白和弱用户名/密码是一个艰巨的任务,但消除默认,空白和弱用户名/密码是保护数据库的第一步,黑客会利用工具遍历这些用户名和密码,而且最恐惧的是连最初级的黑客也能黑掉你。
2、SQL注入
当你的数据库对提交的SQL语句未做消毒处理,黑客可以利用URL构造SQL注入代码,暴露你的数据库结构,甚至直接查询出用户登录凭据信息,进而有机会进行权限提升,虽然大多数数据库厂商都发布了相关补丁来防止SQL注入,但如果你的数据库刚好忘记打补丁,那它已经不属于你了。
3、用户和组权限分配不当
在给用户和组分配权限,要确保分配适当,应按照最小特权原则进行分配,并应该遵循“权限>角色(或组)>用户”逐级分配的原则,避免直接将权限分配给用户,那样会增加管理难度。
4、开启不必要的数据库功能
数据库安装好后许多功能都是开启的,但一般来说,我们只会使用其中一小部分功能,如果你禁用或卸载那些不会使用的功能,将会增加数据库被攻击的攻击面,禁用或卸载它们不禁减少了零日攻击风险,也简化了补丁管理,当这些功能需要打补丁时,你才不会限于慌乱。
5、残缺的配置管理
数据库给管理员提供了大量的配置参数,有调整性能的,有增强功能的,但有些配置从安全角度来看是需要小心处理的,特别是很多默认配置就不安全,还有就是数据库官员为了图省事,喜欢走捷径,如将sql server数据库的sa用户开放给开发人员使用。
6、缓冲区溢出
缓冲区溢出是黑客最喜欢干的事情,什么是缓冲区溢出呢,说直白一点就是,数据库能接收100个输入字符,但黑客传入了200或更多字符,造成数据库处理不了,但又缺乏保护机制,这个时候就会造成缓冲区溢出,我们平常给数据库打的补丁大部分都是修复这种漏洞的,因此不要忘了给你的数据库打上最新的补丁。
7、权限提升
这也是黑客最喜欢干的事情,当他们获得一个低特权的用户控制权时,就会想方设法提升账号的权限,终极目标就是获得管理员权限,一个常见的招数就是尝试执行属于sysdba的函数,因此保护好管理员所属的函数和存储过程非常重要,最好是逐个检查它们的权限分配情况,不要轻易将它们分配给普通用户。
8、拒绝服务攻击
SQL Slammer曾经让无数企业和数据库管理员头大,让人们意识到原来数据库漏洞也可以被用来发起洪水流量攻击,虽然SQL Slammer是在2003出现的,并且数据库厂商早已推出了相关的补丁,但时至今日,仍然有大量的SQL Server数据库未打补丁。
9、未打补丁的数据库
我想你一定觉得我有点罗嗦了,但我觉得值得再重复提一次,许多数据库管理员都未及时给数据库打补丁,因为他们害怕执行这个操作,担心打补丁把数据库弄坏了,虽然这种担心很正常,但也不应该作为借口,再说,现在数据库厂商在发布补丁前都会经过严格的测试的,如果你实在担心害怕,可以在实验环境中测试一下再应用到生产环境。
10、未加密的敏感数据

不管你的安全措施做得有多到位,都不要在数据库中以明文形式存储敏感数据,此外,所有数据库连接都应该全部加密。

上一篇:用命令对SQL进行备份恢复

本文地址:软件教程 >> http://www.9xz.net/it/ruanjianjiaocheng/20211.html

下一篇:SQL Server数据库备份还原

  • 打印
推荐阅读
热门专题
推荐内容
热点内容