黑客的选择:六大数据库攻击手段pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范黑客的选择:六大数据库攻击手段

黑客的选择:六大数据库攻击手段


2008/9/26 18:21:51 编辑:佚名 来源:admin 

普通的黑客从进入到退出一次数据信息攻击只需用不到10秒钟时间就可完成, 这个时间对于数据信息库管理员来说即便提醒一定要注意到入侵者都几乎不够。 因此, 就在数据信息被损害很长时间之前, 许多数据信息库攻击都没有被单位提醒一定要注意到。

  令人奇怪的是, 根据记录许多专家的介绍说明, 作为企业之“王冠”的大本营, 数据信息库就在许多企业中并没有得到恰当的安全保护。 恶意的黑客正利用非常不复杂的攻击方法进入数据信息库, 如利用弱口令和不严谨的配置, 及利用未打补丁的已知漏洞等。

  我们我自己不妨先谈谈丢失备分COPY磁带的问题:如果丢失的或被盗窃的磁带没有加密,那么如果一个坏家伙得到了这种磁带, 您就等着瞧吧。 这根本就不有请求需要攻击。

  Forrester Group 的首席分析师Noel Yuhanna说, “最大的问题之一是许多数据信息库攻击甚至都不为人知, 典型的数据信息库每秒钟拥有15000到20000次连载。 对人类来说, 要知道所有这些连载正就在做什么是不太有可能的。 ”

  黑客们对企业数据信息库补丁的困难问题特别清楚。 事实上, 企业正指望backlog。 那种企业能够就在一个数据信息中心中就可以能够锁定少量数据信息库的日子一去不复返了:当今的多数组织, 拥有成千上万的数据信息库有请求需要配置、保障安全、实施监视, 而远程用户、客户和企业合伙人都有请求需要访问这些数据信息库。

  数据信息库安全厂商Sentrigo的CTO Slavik Markovich说, “困扰我的一个严重问题是, 就在我访问一个客户的站点时, 通常情况下, 其数据信息库的配置是很脆弱的, 以至于很容易就可以能够利用其漏洞。 您通常并不有请求需要缓冲区溢出或SQL注入攻击, 因为这种数据信息库的初始配置总体上就是不安全的。 ”

  所有这些低垂的“果实”使得数据信息库攻击并不一定很复杂。 Markovich说, “这些是可以说是的配置问题, 因此一个黑客并不必要做一些真正复杂的事情, 因为这些不复杂的方法就可以能够奏效。 ”

  那么, 这些攻击是什么呢, 企业怎么才能阻止这种攻击?下面我们我自己看一下当今的黑客们正就在利用的六大数据信息库攻击。 多数攻击都利用了组织布置设置其数据信息库中的极明显的缺陷。 有一些缺陷对于内部的恶意人员更为有用, 而另外一些由那些试图得到公司的贵重数据信息的不法之徒所利用。 不管怎样, 锁定数据信息库的唯一途径是认识到罪恶之手是怎么才能进入的。

  下面是六大数据信息库攻击:

  1.强力(或非强力)破解弱口令或默认的用户名及口令
  2.特权提高水平
  3.利用未用的和不有请求需要的数据信息库服务和和功能中的漏洞
  4.针对未打补丁的数据信息库漏洞
  5.SQL注入
  6.窃取备分COPY(未加密)的磁带下面分别分析一下:

  1.对弱口令或默认用户名/口令的破解

  以前的Oracle数据信息库有一个默认的用户名:Scott及默认的口令:tiger;而微软的SQL Server的系统system管理员账户的默认口令是也是众所周知。

  当然这些默认的登录对于黑客来说尤其方便, 借此他们可以能够轻松地进入数据信息库。

  Oracle和其它主要的数据信息库厂商就在其新版本的产品中表现得聪明起来, 它们不会再让用户保持一直默认的和空的用户名及口令等。 但这并不意味着,所有的组织都就在较老的数据信息库中敞开着大门。

  Forrester的Yuhanna说, “问题是企业拥有15000个数据信息库, 而完全地保护其安全并不容易。 有时企业只能保障关键数据信息库的安全, 其它的就不太安全了。 现就在, 较新的数据信息库强制使您就在安装时改变系统system管理员账户的默认口令。 但较老的数据信息库版本有可能存就在着问题。 ”

  但即便是唯一的、非默认的数据信息库口令也是不安全的。 Sentrigo的 Markovich 说, “您总可以能够就在客户那里去寻找到弱口令和易于猜测的口令。 可以通过强力破解或只试着用不同的组合就可以能够轻易地去寻找到这种口令。 ”

  口令破解必备工具有很多, 并且可以通过Google搜索或sectools.org等站点就可以能够轻易地获得,这样就一定会连载到Cain 、 Abel或John the Ripper等流行的必备工具。

  保护我自己免受口令攻击的最佳方法:避免使用默认口令, 建立强健的口令管理程序并对口令经常改变。

  2.特权提高水平

  有几种内部人员攻击的方法可以能够导致恶意的用户占有超过其应该具有的系统system特权。 而且外部的攻击者有时可以通过破坏操作系统system而获得更高级别的特权。 应用安全公司的销售副总裁Ted Julian说, “这是一种常见的威胁因素。 ”

  特权提高水平通常更多地与错误的配置有关联:一个用户被错误地授与了超过其实际有请求需要用来完成工作的、对数据信息库及其相关应用程序的访问和特权。

  Forrester的Yuhanna说, “这是一个控制问题。 有时一个企业并没有提供哪些人员有请求需要访问何种资源的良好框架结构,而且通常情况下, 数据信息库管理员并没有从业务上理解企业的数据信息。 这是问题之一。 ”
  
  而且, 有时一个内部的攻击者(或者一个已经控制了受害人机器的外部的家伙)可以能够轻松地从一个应用程序跳转到数据信息库, 即便他并没有这个数据信息库的相关凭证也可以能够如此。 Yuhanna 说, “一个非特权用户可以能够试着连载到数据信息库, 只要他可以能够访问一个系统system, 如CRM, 他就可以能够用同样的口令可以通过检查, 即便他没有获得此数据信息库的授权。 有些控制并没有实现很好的集中化。 ”

  Sentrigo的Markovich近来能够可以通过一个拥有少量特权的用户账户攻入一个客户的数据信息库。 Markovich说, “他们要求我攻入其数据信息库。 我去寻找到了一个少量特权的用户口令, 之后就进入了系统system。 之后我检查了他的特权, 他拥有对数据信息库的只读性访问, 因此一个少量特权的用户可以能够访问读取数据信息库内的任意一个表, 包括信用卡信息、个人信息。 因此, 我说:‘我不有请求需要攻入数据信息库。 ’”

  专家们说, 经验法则应当说是只给用户所有请求需要的数据信息库访问和权力, 一定不要有更多的东西。

  还是有那些拥有合法访问的特权用户, 他们头脑中有可能并没有合法的操作。 “您怎么才能控制访问呢?这个领域也正就在现在开始演化。 ”

  3.利用未用的和不有请求需要的数据信息库服务和功能中的漏洞

  当然, 一个外部的攻击者会寻找较弱的数据信息库口令, 看其潜就在的受害人是否就在运行其Oracle数据信息库上运行监听程序(Listener)功能。 监听程序可以能够搜索出到达Oracle数据信息库的网络net连载, 并可以能够转发此连载, 这样一来就一定会将用户和数据信息库的链接暴露出来。

  只需采用一些Google hacking攻击, 一位攻击者就可以能够搜索并去寻找到数据信息库服务上暴露的监听程序。 Markovich 说, “许多客户并没有就在监听程序上布置设置口令, 因此, 黑客就可以能够搜索字符串并找出Web上活动系列的监听程序。 我刚才搜索了一下, 发现有一些可引起人们提醒一定要注意的东西, 如政府站点。 这确实是一个大问题。 ”

  其它的特性, 如操作系统system和数据信息库之间的钩子可以能够将数据信息库暴露给攻击者。 这种钩子可以能够成为达到数据信息库的一个通信链接。 Yuhanna说, “就在您链接库和编写程序时…那将成为与数据信息库的界面, ”您就是就在将数据信息库暴露出去, 并有可能就在无认证和无授权的情况下让黑客进入内部。

  通常, 数据信息库管理员并没有关联闭不有请求需要的服务。 Julian 说, “他们只是任其开着。 这种设计design过时且管理跟不上, 这是让其发挥实际作用的最不复杂方法。 不有请求需要的服务就在基础结构中大摇大摆地存就在, 这会将您的漏洞暴露就在外。 ”

  关键是要保持一直数据信息库特性的精简简约, 只安装您就一定要使用的内容。 别的东西一概一定不要。 Markovich说, “任意一个特性都可被用来对付您, 因此只安装您所有请求需要的。 如果您并没有部署一种特性, 您就不有请求需要以后为它打补丁。

4.针对未打补丁的数据信息库漏洞

  好消息是Oracle和其它的数据信息库厂商确实就在为其漏洞打补丁。 坏消息是单位不能够跟得上这些补丁, 因此它们总是处于企图利用某种机会的老谋深算的攻击者控制之下。

  数据信息库厂商总是小心翼翼地避免披露其补丁程序所修正的漏洞细节, 但单位仍以极大的人力和时间来苦苦挣扎, 它会花费人力物力来测试和应用一个数据信息库补丁。 例如, 给程序打补丁要求对受补丁反应影响的所有应用程序都来进行测试, 这是项艰巨的任务。

  Yuhanna 说, “最大问题是多数公司不能够及时安装其程序补丁, 一家公司告诉我, 他们只能关闭其数据信息库一次, 用六小时的时间打补丁, 它们要冒着再也不能够打补丁的风险, 因为它们不能够关闭其操作。 ”

  Markovich说, 就在就在今天正就在运行的多数Oracle数据信息库中, 有至少10到20个已知的漏洞, 黑客们可以能够用这些漏洞攻击进入。 他说, “这些数据信息库并没有打补丁, 如果一个黑客能够比较版本, 并精确地找出漏洞就在什么地方, 那么, 他就可以能够跟踪这个数据信息库。 ”

  而且一些黑客站点将一些已知的数据信息库漏洞的利用脚本发布出来了出来, 他说。 即便跟得上补丁周期有极大困难, 单位也应当打补丁。 他说, 例如, Oracle4月15日的补丁包含了数据信息库内部的17个问题。 这些和其它的补丁都不应当掉以轻心。 每一个问题都能够破坏您的数据信息库。

  5.SQL注入

  SQL注入式攻击并不是什么新事物了, 不过近来就在网站上仍十分猖狂。 近来这种攻击又侵入了成千上万的有着鲜明立场的网站。

  虽然受反应影响的网页和访问它的用户就在这些攻击中典型情况下都受到了重视, 但这确实是黑客们进入数据信息库的一个聪明方法。 数据信息库安全专家们说, 执行一个面向前端数据信息库Web应用程序的SQL注入攻击要比对数据信息库自身的攻击容易得多。 直接针对数据信息库的SQL注入攻击很少见。

  就在字段可用于用户输入, 可以通过SQL语句可以能够实现数据信息库的直接查询时, 就一定会发生SQL攻击。 也就是说攻击者有请求需要提交一段数据信息库查询代码, 根据记录程序返回的结果, 获得某些他想得知的数据信息。

  除客户端之外, Web应用程序是最脆弱的环节。 有些情况下, 如果攻击者得到一个要求输入用户名和口令的应用程序的屏幕, 而且应用程序并不检查登录的内容的话, 他所有请求需要做的就是提供一个SQL语句或者数据信息库命令, 并直接转向数据信息库。 Yuhanna说, 问题是身份验证和授权已经被移交给了应用程序服务器。

  他说, “此时输入的并不是一个用户名, 而是一个SQL命令。 它被输入到一个数据信息包中, 并且由应用程序服务器发送send给数据信息库。 这个数据信息库会读取欺诈性的SQL命令, 而且它能够完全关闭整个数据信息库。 ”

  他说, “这是开发者的一种可悲的开发方法。 您就一定要关注用户正就在输入的内容。 不管您想执行什么, 数据信息库都会执行。 这是很令人惊慌的问题。 SQL注入式攻击是一个很大的问题。 ”

  Sentrigo 的Markovich说, 从Web应用程序到数据信息库两个方面都可以能够实施SQL注入式攻击, 而且可以能够从数据信息库内部实施。 但有一些程序设计design方法可有助于防止应用程序中的SQL注入攻击漏洞, 如使用所谓的绑定变量(bind variable)或者使用参数来进行查询等。

  Markovich说,就在Java等语言中,这就意味着就在SQL语句中将问号用作占位符,并将“接收”值与这些占位符绑定。 另外一种方法是避免显示某些数据信息库错误消息,目的是避免将有可能敏感的信息透露给潜就在的攻击者。

  6.窃取(未加密的)备分COPY磁带

  如果备分COPY磁带就在运输或仓储过程中丢失, 而这些磁带上的数据信息库数据信息又没有加密的话, 一旦它落于罪恶之手, 这时黑客根本不有请求需要接触网络net就可以能够实施破坏。

  但这类攻击更有可能发生就在将介质销售给攻击者的一个内部人员身上。 只要被窃取的或没有加密的磁带不是某种Informix或HP-UX 上的DB2等较老的版本, 黑客们有请求需要做的只是安装好磁带, 之后他们就一定会获得数据信息库。

  Julian说, “当然, 如果不是一种受内部人员驱动的攻击, 它就是非主要的。 ”他说, 同样的原因, 闪盘也是另外一种风险。

  除了没有对备分COPY介质上的数据信息来进行加密等明显的预防措施, 一些单位并没有会一直不断将标签贴就在其备分COPY介质上。 “人们备分COPY了许多数据信息, 但却疏于跟踪和记录。 ”Yuhanna说, “磁带容易遭受攻击, 因为没有人会重视它, 而且企业就在多数时间并不对其加密。 ”

相关文章
  • 黑客为什么要入侵别人的电脑?人侵行为的分类
  • 安卓Android手机的神秘黑客代码
  • 为什么俄罗斯黑客这么厉害?
  • 黑客攻击无孔不入:连电影字幕都能被入侵
  • 勒索病毒攻击情况缓解 黑客组织欲出售恶意代码
  • 《加勒比海盗5》未映就遭盗 黑客索要比特币
  • 勒索病毒黑客要放更狠病毒掀开全球核导弹:微软回应
  • 《加勒比海盗5》样片被盗!黑客威胁迪士尼交赎金
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图