返回
安全需知:认识黑客入侵数据库的方法

安全需知:认识黑客入侵数据库的方法

ID:8830212

大小:33.00 KB

页数:5页

时间:2018-04-08

安全需知:认识黑客入侵数据库的方法_第1页
安全需知:认识黑客入侵数据库的方法_第2页
安全需知:认识黑客入侵数据库的方法_第3页
安全需知:认识黑客入侵数据库的方法_第4页
安全需知:认识黑客入侵数据库的方法_第5页
资源描述:

《安全需知:认识黑客入侵数据库的方法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、认识黑客入侵数据库的方法认识黑客入侵数据库的方法认识黑客入侵数据库的方法普通的黑客从进入到退出一次数据攻击只需用不到10秒钟时间就可完成,这个时间对于数据库管理员来说即使注意到入侵者都几乎不够。因此,在数据被损害很长时间之前,许多数据库攻击都没有被单位注意到。  令人奇怪的是,根据许多专家的介绍,作为企业之“王冠”的大本营,数据库在许多企业中并没有得到恰当的安全保护。恶意的黑客正利用非常简单的攻击方法进入数据库,如利用弱口令和不严谨的配置,及利用未打补丁的已知漏洞等。  我们不妨先谈谈丢失备份磁带的问题:如果丢失的或被盗窃的磁带没有加密,那么如果一个坏家伙得到了这种磁带,你就

2、等着瞧吧。这根本就不需要攻击。  Forrester Group 的首席分析师Noel Yuhanna说,“最大的问题之一是许多数据库攻击甚至都不为人知,典型的数据库每秒钟拥有15000到20000次连接。对人类来说,要知道所有这些连接正在做什么是不太可能的。”  黑客们对企业数据库补丁的困难问题特别清楚。事实上,企业正指望backlog。那种企业能够在一个数据中心中就可以锁定少量数据库的日子一去不复返了:当今的多数组织,拥有成千上万的数据库需要配置、保障安全、实施监视,而远程用户、客户和企业合伙人都需要访问这些数据库。  数据库安全厂商Sentrigo的CTOSlavik 

3、Markovich说,“困扰我的一个重大问题是,在我访问一个客户的站点时,通常情况下,其数据库的配置是很脆弱的,以至于很容易就可以利用其漏洞。你通常并不需要缓冲区溢出或SQL注入攻击,因为这种数据库的初始配置总体上就是不安全的。”  所有这些低垂的“果实”使得数据库攻击并不一定很复杂。Markovich说,“这些是基本的配置问题,因此一个黑客并不必要做一些真正复杂的事情,因为这些简单的方法就可以奏效。”  那么,这些攻击是什么呢,企业如何阻止这种攻击?下面我们看一下当今的黑客们正在利用的六大数据库攻击。多数攻击都利用了组织设置其数据库中的极明显的缺陷。有一些缺陷对于内部的恶意

4、人员更为有用,而另外一些由那些试图得到公司的贵重数据的不法之徒所利用。不管怎样,锁定数据库的唯一途径是认识到罪恶之手是如何进入的。  下面是六大数据库攻击:  1.强力(或非强力)破解弱口令或默认的用户名及口令  2.特权提升  3.利用未用的和不需要的数据库服务和和功能中的漏洞  4.针对未打补丁的数据库漏洞  5.SQL注入  6.窃取备份(未加密)的磁带  下面分别分析一下:  1.对弱口令或默认用户名/口令的破解  以前的Oracle数据库有一个默认的用户名:Scott及默认的口令:tiger;而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。  

5、当然这些默认的登录对于黑客来说尤其方便,借此他们可以轻松地进入数据库。  Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来,它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。  Forrester的Yuhanna说,“问题是企业拥有15000个数据库,而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全,其它的就不太安全了。现在,较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。”  但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Mar

6、kovich 说,“你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。”  口令破解工具有很多,并且通过Google搜索或sectools.org等站点就可以轻易地获得,这样就会连接到Cain 、 Abel或John the Ripper等流行的工具。  保护自己免受口令攻击的最佳方法:避免使用默认口令,建立强健的口令管理程序并对口令经常改变。  2.特权提升  有几种内部人员攻击的方法可以导致恶意的用户占有超过其应该具有的系统特权。而且外部的攻击者有时通过破坏操作系统而获得更高级别的特权。应用安全公司的销售副总裁Ted 

7、Julian说,“这是一种常见的威胁因素。”  特权提升通常更多地与错误的配置有关:一个用户被错误地授与了超过其实际需要用来完成工作的、对数据库及其相关应用程序的访问和特权。  Forrester的Yuhanna说,“这是一个控制问题。有时一个企业并没有提供哪些人员需要访问何种资源的良好框架结构,而且通常情况下,数据库管理员并没有从业务上理解企业的数据。这是问题之一。”  而且,有时一个内部的攻击者(或者一个已经控制了受害人机器的外部的家伙)可以轻松地从一个应用程序跳转到数据库,即使他并没有这个数据库的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。