色婷婷国产精品免费网站_av在线官网_色综合色综合_欧美精品一区二区三区蜜桃视频_成人免费视频观看视频_国产午夜精品一区二区三区视频

17站長網(wǎng)

17站長網(wǎng) 首頁 安全 安全教程 查看內(nèi)容

黑客狙擊Oracle系統(tǒng)常用的方法都有哪些?

2022-9-24 13:14| 查看: 2712 |來源: 互聯(lián)網(wǎng)

Oracle的銷售在向客戶兜售其數(shù)據(jù)庫系統(tǒng)一直把它吹捧為牢不可破的,耍嘴皮子容易,兌現(xiàn)起來可就不那么容易了。不管什么計算機(jī)系統(tǒng),人們總能夠找到攻擊它的方法,Oracle也不例外。本文將和大家從黑客的角度討論黑客是
Oracle的銷售在向客戶兜售其數(shù)據(jù)庫系統(tǒng)一直把它吹捧為牢不可破的,耍嘴皮子容易,兌現(xiàn)起來可就不那么容易了。不管什么計算機(jī)系統(tǒng),人們總能夠找到攻擊它的方法,Oracle也不例外。本文將和大家從黑客的角度討論黑客是用哪些方法把黑手伸向了你原以為他們不能觸及的數(shù)據(jù),希望作為Oracle的數(shù)據(jù)庫管理員能夠清楚的闡明自己基礎(chǔ)架構(gòu)的哪些區(qū)域比較容易受到攻擊。同時我們也會討論保護(hù)系統(tǒng)防范攻擊的方法。

1.SQL注入攻擊

如今大部分的Oracle數(shù)據(jù)庫都具有為某種類型網(wǎng)絡(luò)應(yīng)用服務(wù)的后端數(shù)據(jù)存儲區(qū),網(wǎng)頁應(yīng)用使數(shù)據(jù)庫更容易成為我們的攻擊目標(biāo)體現(xiàn)在三個方面。其一,這些應(yīng)用界面非常復(fù)雜,具有多個組成成分,使數(shù)據(jù)庫管理員難以對它們進(jìn)行徹底檢查。其二,阻止程序員侵入的屏障很低,即便不是C語言的編程專家,也能夠?qū)σ恍╉撁孢M(jìn)行攻擊。下面我們會簡單地解釋為什么這對我們這么重要。第三個原因是優(yōu)先級的問題。網(wǎng)頁應(yīng)用一直處于發(fā)展的模式,所以他們在不斷變化,推陳出新。這樣安全問題就不是一個必須優(yōu)先考慮的問題。

SQL注入攻擊是一種很簡單的攻擊,在頁面表單里輸入信息,悄悄地加入一些特殊代碼,誘使應(yīng)用程序在數(shù)據(jù)庫里執(zhí)行這些代碼,并返回一些程序員沒有料到的結(jié)果。例如,有一份用戶登錄表格,要求輸入用戶名和密碼才能登錄,在用戶名這一欄,輸入以下代碼:

cyw'); select username, password from all_users;--

如果數(shù)據(jù)庫程序員沒有聰明到能夠檢查出類似的信息并“清洗”掉我們的輸入,該代碼將在遠(yuǎn)程數(shù)據(jù)庫系統(tǒng)執(zhí)行,然后這些關(guān)于所有用戶名和密碼的敏感數(shù)據(jù)就會返回到我們的瀏覽器。

你可能會認(rèn)為這是在危言聳聽,不過還有更絕的。David Litchfield在他的著作《Oracle黑客手冊》(Oracle Hacker's Handbook)中把某種特殊的pl/sql注入攻擊美其名曰:圣杯(holy grail),因為它曾通殺Oracle 8到Oracle10g的所有Oracle數(shù)據(jù)庫版本。很想知道其作用原理吧。你可以利用一個被稱為DBMS_EXPORT_EXTENSION的程序包,使用注入攻擊獲取執(zhí)行一個異常處理程序的代碼,該程序會賦予用戶或所有相關(guān)用戶數(shù)據(jù)庫管理員的特權(quán)。

這就是Oracle發(fā)布的著名安全升級補(bǔ)丁Security Alert 68所針對的漏洞。不過據(jù)Litchfield稱,這些漏洞是永遠(yuǎn)無法完全修補(bǔ)完畢的。

防范此類攻擊的方法

總而言之,雖說沒有萬能的防彈衣,但鑒于這個問題涉及到所有面向網(wǎng)絡(luò)的應(yīng)用軟件,還是要盡力防范。目前市面上有各式各樣可加以利用的SQL注入檢測技術(shù)?梢詤⒄説ttp://www.securityfocus.com/infocus/1704 系列文章的詳細(xì)介紹。

還可以用不同的入侵檢測工具在不同的水平上檢測SQL注入攻擊。訪問專門從事Oracle安全性研究的Pete Finnigan的安全網(wǎng)站http://www.petefinnigan.com/orasec.htm,在該網(wǎng)頁搜索“sql injection”,可以獲得更多相關(guān)信息。Pete Finnigan曾在其博客上報告稱Steven Feurstein目前正在編寫一個稱為SQL Guard 的pl/sql程序包,專門用來防止SQL注入攻擊,詳情請查看以下網(wǎng)頁http://www.petefinnigan.com/weblog/archives/00001115.htm。

對于軟件開發(fā)人員來說,很多軟件包都能夠幫助你“清洗”輸入信息。如果你調(diào)用對從頁面表單接受的每個值都調(diào)用清洗例行程序進(jìn)行處理,這樣可以更加嚴(yán)密的保護(hù)你的系統(tǒng)。不過,最好使用SQL注入工具對軟件進(jìn)行測試和驗證,以確保萬無一失。

1. 默認(rèn)密碼

Oracle數(shù)據(jù)庫是一個龐大的系統(tǒng),提供了能夠創(chuàng)建一切的模式。絕大部分的系統(tǒng)自帶用戶登錄都配備了預(yù)設(shè)的默認(rèn)密碼。想知道數(shù)據(jù)庫管理員工作是不是夠勤奮?這里有一個方法可以找到答案?纯聪旅孢@些最常用的預(yù)設(shè)用戶名和密碼是不是能夠登錄到數(shù)據(jù)庫吧:

  Username   Password

  applsys     apps

  ctxsys   change_on_install

  dbsnmp    dbsnmp

  outln      outln

  owa      owa

  perfstat    perfstat

  scott      tiger

  system  change_on_install

  system    manager

  sys    change_on_install

  sys      manager


本文最后更新于 2022-9-24 13:14,某些文章具有時效性,若有錯誤或已失效,請在網(wǎng)站留言或聯(lián)系站長:17tui@17tui.com
·END·
站長網(wǎng)微信號:w17tui,關(guān)注站長、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營銷服務(wù)中心

免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!

17站長網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!

掃一掃,關(guān)注站長網(wǎng)微信

大家都在看

    熱門排行

      最近更新

        返回頂部
        主站蜘蛛池模板: 免费观看av| 国产一级免费观看 | 亚洲视频免费在线观看 | 欧美一区二区三区在线 | 日韩在线不卡视频 | 亚洲av毛片成人精品 | 超碰成人av | 欧美日韩一区二区三区视频 | 理论片中文字幕 | 国产女人水真多18毛片18精品 | 中文字幕99 | 日本激情在线 | 激情久久综合 | av手机天堂网 | 中文字幕在线观看一区二区三区 | 久草网在线观看 | 国产成人精品一区二 | 日韩黄色在线观看 | 欧美又粗又长 | 日本中文字幕一区 | 欧美视频在线观看免费 | 91国产视频在线观看 | 欧美色综合天天久久综合精品 | 日韩欧美不卡 | 一区二区免费在线观看 | 精品一区二区在线视频 | 超碰免费公开 | www.欧美日韩 | 国产精品免费一区二区三区 | 看免费毛片 | 日本视频免费 | 婷婷天堂 | 亚洲精品视频免费观看 | 日韩欧美亚洲国产 | 黄色精品视频 | 欧美日韩视频在线 | 精品视频免费在线观看 | 久久亚洲一区二区 | 久久国产一区 | 午夜专区| 成av人片一区二区三区久久 |