Hackproofing Oracle Application Server755503775.doc

《Hackproofing Oracle Application Server755503775.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、HackproofingOracleApplicationServer文章属性：翻译文章提交：wking(bblman_at_21cn.com)>>============ANGSSoftwareInsightSecurityResearchPublication============<<          HackproofingOracleApplicationServer              (AGuidetoSecuringOracle9)>>============[straighttranslatedbywkingbblman@21cn.co

2、m04.1]============<

3、pting        -OracleJSP            -TranslationFiles            -JSPSQLPoisoning            -Globals.jsa            -PhysicalPathmapping        -XSQL            -XSQLConfig.xmlAccess            -XSQLSQLPoisoning            -XSQLStyleSheets        -SOAP            -SOAPApplicationDepl

4、oyment            -SOAPConfigurationFile        -SAMPLES            -DangerousSamples        -DEFAULTS            -DynamicMonitoringServices            -PerlAlias    TNSLISTENER        -ListenerSecurityIssues        -EXTPROCandExternalProcedures    OracleDatabase        -PL/SQLExtern

5、alProcedures        -DefaultUserLoginsandPasswords    AppendixAIntroduction(绪论)恰恰与Oracle公司C.E.O：LarryEllison所宣称的相反，Oracle9存在漏洞。或许Oracle公司在其运营活动中标榜“神不可破”是为充分显示他们对更进一步生产安全产品所做出的承诺，但在实际中，Oracle公司的确十分注重其产品的安全性。Oracle公司的产品已经历并通过了14项独立的安全评估，其中包括CommonCriteriaassessment。在数据库领域这是相当了不起的成就，仅此O

6、racle公司就将其它的竞争对手远远甩在后面。目前Oracle9正经历评估的考验。谨以此篇献给Oracle产品的用户，帮助他们对Oracle公司所承诺的安全环境有更深的了解。要是某人为Oracle公司写一份安全方面的白皮书，他的功绩将与希腊君主科林斯王相姘美。Oracle公司开发了上百种产品，每件产品都应有其对应的专题说明。由于本文篇幅的限制，我们将讨论其中最普通的部分-从Oracleweb前台到Oracle数据库服务器。主要的重点将放在Oracleweb前台上，当然，我们还将简要了解数据库部分。对数据库部分的进一步研究将另外撰文探讨。经验表明，web服务器已无

7、可厚非地成为攻击的第一个目标。本篇将演示攻击者是如何侵入基于Oracle的站点，获得web前台的操作权，直至最后控制数据库服务器。我们会讲解每种攻击方式，同时还会介绍其对应的防卫方法。针对本文一些问题的探讨你可以到http://metalink.oracle.com/发表，同时在那里你可以下载Oracle的安全补丁。OracleArchitecture(Oracle体系结构)典型的Oracle站点将由受防火墙保护Oracleweb服务器和数据库服务器组成。Oracleweb服务器将在由OracleApplicationServer提供的高效环境下运行业主预先写好

8、的应用程序。这些程序可以