欢迎来到天天文库
浏览记录
ID:32020034
大小:121.00 KB
页数:42页
时间:2019-01-30
《Hackproofing Oracle Application Server755503775.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、HackproofingOracleApplicationServer文章属性:翻译文章提交:wking(bblman_at_21cn.com)>>============ANGSSoftwareInsightSecurityResearchPublication============<< HackproofingOracleApplicationServer (AGuidetoSecuringOracle9)>>============[straighttranslatedbywkingbblman@21cn.co
2、m04.1]============<3、pting -OracleJSP -TranslationFiles -JSPSQLPoisoning -Globals.jsa -PhysicalPathmapping -XSQL -XSQLConfig.xmlAccess -XSQLSQLPoisoning -XSQLStyleSheets -SOAP -SOAPApplicationDepl4、oyment -SOAPConfigurationFile -SAMPLES -DangerousSamples -DEFAULTS -DynamicMonitoringServices -PerlAlias TNSLISTENER -ListenerSecurityIssues -EXTPROCandExternalProcedures OracleDatabase -PL/SQLExtern5、alProcedures -DefaultUserLoginsandPasswords AppendixAIntroduction(绪论)恰恰与Oracle公司C.E.O:LarryEllison所宣称的相反,Oracle9存在漏洞。或许Oracle公司在其运营活动中标榜“神不可破”是为充分显示他们对更进一步生产安全产品所做出的承诺,但在实际中,Oracle公司的确十分注重其产品的安全性。Oracle公司的产品已经历并通过了14项独立的安全评估,其中包括CommonCriteriaassessment。在数据库领域这是相当了不起的成就,仅此O6、racle公司就将其它的竞争对手远远甩在后面。目前Oracle9正经历评估的考验。谨以此篇献给Oracle产品的用户,帮助他们对Oracle公司所承诺的安全环境有更深的了解。要是某人为Oracle公司写一份安全方面的白皮书,他的功绩将与希腊君主科林斯王相姘美。Oracle公司开发了上百种产品,每件产品都应有其对应的专题说明。由于本文篇幅的限制,我们将讨论其中最普通的部分-从Oracleweb前台到Oracle数据库服务器。主要的重点将放在Oracleweb前台上,当然,我们还将简要了解数据库部分。对数据库部分的进一步研究将另外撰文探讨。经验表明,web服务器已无7、可厚非地成为攻击的第一个目标。本篇将演示攻击者是如何侵入基于Oracle的站点,获得web前台的操作权,直至最后控制数据库服务器。我们会讲解每种攻击方式,同时还会介绍其对应的防卫方法。针对本文一些问题的探讨你可以到http://metalink.oracle.com/发表,同时在那里你可以下载Oracle的安全补丁。OracleArchitecture(Oracle体系结构)典型的Oracle站点将由受防火墙保护Oracleweb服务器和数据库服务器组成。Oracleweb服务器将在由OracleApplicationServer提供的高效环境下运行业主预先写好8、的应用程序。这些程序可以
3、pting -OracleJSP -TranslationFiles -JSPSQLPoisoning -Globals.jsa -PhysicalPathmapping -XSQL -XSQLConfig.xmlAccess -XSQLSQLPoisoning -XSQLStyleSheets -SOAP -SOAPApplicationDepl
4、oyment -SOAPConfigurationFile -SAMPLES -DangerousSamples -DEFAULTS -DynamicMonitoringServices -PerlAlias TNSLISTENER -ListenerSecurityIssues -EXTPROCandExternalProcedures OracleDatabase -PL/SQLExtern
5、alProcedures -DefaultUserLoginsandPasswords AppendixAIntroduction(绪论)恰恰与Oracle公司C.E.O:LarryEllison所宣称的相反,Oracle9存在漏洞。或许Oracle公司在其运营活动中标榜“神不可破”是为充分显示他们对更进一步生产安全产品所做出的承诺,但在实际中,Oracle公司的确十分注重其产品的安全性。Oracle公司的产品已经历并通过了14项独立的安全评估,其中包括CommonCriteriaassessment。在数据库领域这是相当了不起的成就,仅此O
6、racle公司就将其它的竞争对手远远甩在后面。目前Oracle9正经历评估的考验。谨以此篇献给Oracle产品的用户,帮助他们对Oracle公司所承诺的安全环境有更深的了解。要是某人为Oracle公司写一份安全方面的白皮书,他的功绩将与希腊君主科林斯王相姘美。Oracle公司开发了上百种产品,每件产品都应有其对应的专题说明。由于本文篇幅的限制,我们将讨论其中最普通的部分-从Oracleweb前台到Oracle数据库服务器。主要的重点将放在Oracleweb前台上,当然,我们还将简要了解数据库部分。对数据库部分的进一步研究将另外撰文探讨。经验表明,web服务器已无
7、可厚非地成为攻击的第一个目标。本篇将演示攻击者是如何侵入基于Oracle的站点,获得web前台的操作权,直至最后控制数据库服务器。我们会讲解每种攻击方式,同时还会介绍其对应的防卫方法。针对本文一些问题的探讨你可以到http://metalink.oracle.com/发表,同时在那里你可以下载Oracle的安全补丁。OracleArchitecture(Oracle体系结构)典型的Oracle站点将由受防火墙保护Oracleweb服务器和数据库服务器组成。Oracleweb服务器将在由OracleApplicationServer提供的高效环境下运行业主预先写好
8、的应用程序。这些程序可以
此文档下载收益归作者所有