Oracle的銷售在向客戶兜售其數(shù)據(jù)庫系統(tǒng)一直把它吹捧為牢不可破的，耍嘴皮子容易，兌現(xiàn)起來可就不那么容易了。不管什么計(jì)算機(jī)系統(tǒng)，人們總能夠找到攻擊它的方法，Oracle也不例外。本文將和大家從黑客的角度討論黑客是用哪些方法把黑手伸向了你原以為他們不能觸及的數(shù)據(jù)，希望作為Oracle的數(shù)據(jù)庫管理員能夠清楚的闡明自己基礎(chǔ)架構(gòu)的哪些區(qū)域比較容易受到攻擊。同時(shí)我們也會(huì)討論保護(hù)系統(tǒng)防范攻擊的方法。

　　1.SQL注入攻擊

　　如今大部分的Oracle數(shù)據(jù)庫都具有為某種類型網(wǎng)絡(luò)應(yīng)用服務(wù)的后端數(shù)據(jù)存儲(chǔ)區(qū)，網(wǎng)頁應(yīng)用使數(shù)據(jù)庫更容易成為我們的攻擊目標(biāo)體現(xiàn)在三個(gè)方面。其一，這些應(yīng)用界面非常復(fù)雜，具有多個(gè)組成成分，使數(shù)據(jù)庫管理員難以對(duì)它們進(jìn)行徹底檢查。其二，阻止程序員侵入的屏障很低，即便不是C語言的編程專家，也能夠?qū)σ恍╉撁孢M(jìn)行攻擊。下面我們會(huì)簡(jiǎn)單地解釋為什么這對(duì)我們這么重要。第三個(gè)原因是優(yōu)先級(jí)的問題。網(wǎng)頁應(yīng)用一直處于發(fā)展的模式，所以他們?cè)诓粩嘧兓?，推陳出新。這樣安全問題就不是一個(gè)必須優(yōu)先考慮的問題。

　　SQL注入攻擊是一種很簡(jiǎn)單的攻擊，在頁面表單里輸入信息，悄悄地加入一些特殊代碼，誘使應(yīng)用程序在數(shù)據(jù)庫里執(zhí)行這些代碼，并返回一些程序員沒有料到的結(jié)果。例如，有一份用戶登錄表格，要求輸入用戶名和密碼才能登錄，在用戶名這一欄，輸入以下代碼：

　　cyw'); select username, password from all_users;--

　　如果數(shù)據(jù)庫程序員沒有聰明到能夠檢查出類似的信息并“清洗”掉我們的輸入，該代碼將在遠(yuǎn)程數(shù)據(jù)庫系統(tǒng)執(zhí)行，然后這些關(guān)于所有用戶名和密碼的敏感數(shù)據(jù)就會(huì)返回到我們的瀏覽器。

　　你可能會(huì)認(rèn)為這是在危言聳聽，不過還有更絕的。David Litchfield在他的著作《Oracle黑客手冊(cè)》(Oracle Hacker's Handbook)中把某種特殊的pl/sql注入攻擊美其名曰：圣杯(holy grail)，因?yàn)樗racle 8到Oracle10g的所有Oracle數(shù)據(jù)庫版本。很想知道其作用原理吧。你可以利用一個(gè)被稱為DBMS_EXPORT_EXTENSION的程序包，使用注入攻擊獲取執(zhí)行一個(gè)異常處理程序的代碼，該程序會(huì)賦予用戶或所有相關(guān)用戶數(shù)據(jù)庫管理員的特權(quán)。

　　這就是Oracle發(fā)布的著名安全升級(jí)補(bǔ)丁Security Alert 68所針對(duì)的漏洞。不過據(jù)Litchfield稱，這些漏洞是永遠(yuǎn)無法完全修補(bǔ)完畢的。

　　防范此類攻擊的方法

　　總而言之，雖說沒有萬能的防彈衣，但鑒于這個(gè)問題涉及到所有面向網(wǎng)絡(luò)的應(yīng)用軟件，還是要盡力防范。目前市面上有各式各樣可加以利用的SQL注入檢測(cè)技術(shù)?？梢詤⒄説ttp://www.securityfocus.com/infocus/1704 系列文章的詳細(xì)介紹。

　　還可以用不同的入侵檢測(cè)工具在不同的水平上檢測(cè)SQL注入攻擊。訪問專門從事Oracle安全性研究的Pete Finnigan的安全網(wǎng)站http://www.petefinnigan.com/orasec.htm，在該網(wǎng)頁搜索“sql injection”，可以獲得更多相關(guān)信息。Pete Finnigan曾在其博客上報(bào)告稱Steven Feurstein目前正在編寫一個(gè)稱為SQL Guard 的pl/sql程序包，專門用來防止SQL注入攻擊，詳情請(qǐng)查看以下網(wǎng)頁http://www.petefinnigan.com/weblog/archives/00001115.htm。

　　對(duì)于軟件開發(fā)人員來說，很多軟件包都能夠幫助你“清洗”輸入信息。如果你調(diào)用對(duì)從頁面表單接受的每個(gè)值都調(diào)用清洗例行程序進(jìn)行處理，這樣可以更加嚴(yán)密的保護(hù)你的系統(tǒng)。不過，最好使用SQL注入工具對(duì)軟件進(jìn)行測(cè)試和驗(yàn)證，以確保萬無一失。

　　1. 默認(rèn)密碼

　　Oracle數(shù)據(jù)庫是一個(gè)龐大的系統(tǒng)，提供了能夠創(chuàng)建一切的模式。絕大部分的系統(tǒng)自帶用戶登錄都配備了預(yù)設(shè)的默認(rèn)密碼。想知道數(shù)據(jù)庫管理員工作是不是夠勤奮?這里有一個(gè)方法可以找到答案。看看下面這些最常用的預(yù)設(shè)用戶名和密碼是不是能夠登錄到數(shù)據(jù)庫吧：

　　Username 　　Password

　　applsys 　　　　apps

　　ctxsys 　　change_on_install

　　dbsnmp 　　　dbsnmp

　　outln 　　　　　outln

　　owa 　　　　　owa

　　perfstat 　　　perfstat

　　scott 　　　　　tiger

　　system 　change_on_install

　　system 　　　manager

　　sys 　　　change_on_install

　　sys 　　　　　manager

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。