防范黑客攻击Oracle系统的八大常用方法

• 　　Oracle的销售在向客户兜售其数据库系统一直把它吹捧为牢不可破的，耍嘴皮子容易，兑现起来可就不那么容易了。不管什么计算机系统，人们总能够找到攻击它的方法，Oracle也不例外。本文将和大家从黑客的角度讨论是用哪些方法把黑手伸向了你原以为他们不能触及的数据，希望作为Oracle的数据库管理员能够清楚的阐明自己基础架构的哪些区域比较容易受到攻击。同时我们也会讨论保护系统防范攻击的方法。

  　　1.SQL注入攻击

  　　如今大部分的Oracle数据库都具有为某种类型网络应用服务的后端数据存储区，网页应用使数据库更容易成为我们的攻击目标体现在三个方面。其一，这些应用界面非常复杂，具有多个组成成分，使数据库管理员难以对它们进行彻底检查。其二，阻止程序员侵入的屏障很低，即便不是C语言的编程专家，也能够对一些页面进行攻击。下面我们会简单地解释为什么这对我们这么重要。第三个原因是优先级的问题。网页应用一直处于发展的模式，所以他们在不断变化，推陈出新。这样安全问题就不是一个必须优先考虑的问题。

  　　SQL注入攻击是一种很简单的攻击，在页面表单里输入信息，悄悄地加入一些特殊代码，诱使应用程序在数据库里执行这些代码，并返回一些程序员没有料到的结果。例如，有一份用户登录表格，要求输入用户名和密码才能登录，在用户名这一栏，输入以下代码：

  　　cyw'); select username, password from all_users;--

  　　如果数据库程序员没有聪明到能够检查出类似的信息并“清洗”掉我们的输入，该代码将在远程数据库系统执行，然后这些关于所有用户名和密码的敏感数据就会返回到我们的浏览器。

  　　你可能会认为这是在危言耸听，不过还有更绝的。David Litchfield在他的著作《Oracle黑客手册》(Oracle Hacker's Handbook)中把某种特殊的pl/sql注入攻击美其名曰：圣杯(holy grail)，因为它曾通杀Oracle 8到Oracle10g的所有Oracle数据库版本。很想知道其作用原理吧。你可以利用一个被称为DBMS_EXPORT_EXTENSION的程序包，使用注入攻击获取执行一个异常处理程序的代码，该程序会赋予用户或所有相关用户数据库管理员的特权。

  　　这就是Oracle发布的著名安全升级补丁Security Alert 68所针对的漏洞。不过据Litchfield称，这些漏洞是永远无法完全修补完毕的。

  　　防范此类攻击的方法

  　　总而言之，虽说没有万能的防弹衣，但鉴于这个问题涉及到所有面向网络的应用软件，还是要尽力防范。目前市面上有各式各样可加以利用的SQL注入检测技术。可以参照http://www.securityfocus.com/infocus/1704 系列文章的详细介绍。

  　　还可以用不同的入侵检测工具在不同的水平上检测SQL注入攻击。访问专门从事Oracle安全性研究的Pete Finnigan的安全网站http://www.petefinnigan.com/orasec.htm，在该网页搜索“sql injection”，可以获得更多相关信息。Pete Finnigan曾在其博客上报告称Steven Feurstein目前正在编写一个称为SQL Guard 的pl/sql程序包，专门用来防止SQL注入攻击，详情请查看以下网页http://www.petefinnigan.com/weblog/archives/00001115.htm。

  　　对于软件开发人员来说，很多软件包都能够帮助你“清洗”输入信息。如果你调用对从页面表单接受的每个值都调用清洗例行程序进行处理，这样可以更加严密的保护你的系统。不过，最好使用SQL注入工具对软件进行测试和验证，以确保万无一失。

  　　1. 默认密码

  　　Oracle数据库是一个庞大的系统，提供了能够创建一切的模式。绝大部分的系统自带用户登录都配备了预设的默认密码。想知道数据库管理员工作是不是够勤奋?这里有一个方法可以找到答案。看看下面这些最常用的预设用户名和密码是不是能够登录到数据库吧：

• [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 防范黑客攻击Oracle系统的八大常用方法 相关文章：
• ·防范黑客攻击Oracle系统的八大常用方法
• ·Oracle非法数据库对象引起的错误
• ·SuSE Linux10上安装Oracle数据库方法
• ·用Oracle和SQL Server数据库组合利弊分析
• ·Oracle数据库软件包远程溢出漏洞
• ·快速理解Oracle归档模式的命令及参数
• ·数据从MySQL迁移到 Oracle的注意事项
• ·Oracle进程导致CPU 100%具体解决步骤
• ·通过JDBC数据库连接oracle数据库的十大技巧
• ·如何获取或记录Oracle语句执行时间
• 防范黑客攻击Oracle系统的八大常用方法 相关软件
• ·Oracle 1z0-501 V3 考试试题题库
• ·Oracle技术资料大全
• ·Oracle数据库经典笔记
• ·Oracle专家高级编程
• ·Oracle认证考试百宝箱V 2.0
• ·Oracle官方文档CHM合集-Database参考手册
• ·Oracle官方文档CHM合集-OCI程序员参考手册
• ·Oracle官方文档CHM合集-Oracle10g错误代码
• ·Oracle官方文档CHM合集-Oracle9i错误代码
• ·Oracle官方文档CHM合集-合订本

上一篇:加快Windows Vista系统窗口打开速度的方法

下一篇:网站排名中关于做SEO注意的几点

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐