新的安全漏洞名單列出了可導(dǎo)致數(shù)據(jù)破壞的最常見的數(shù)據(jù)庫問題。

對于Application Security公司新的十大數(shù)據(jù)庫漏洞名單中所列出的問題，數(shù)據(jù)庫管理員都非常熟悉。從預(yù)設(shè)密碼的使用到補(bǔ)丁問題，數(shù)據(jù)庫管理系統(tǒng)受到各種問題的困擾，使其容易受到攻擊。

當(dāng)我報告數(shù)據(jù)庫管理問題時，數(shù)據(jù)庫管理員告訴我，他們都意識到這些常見的可能導(dǎo)致數(shù)據(jù)破壞的安全問題。但是，他們常說包含敏感數(shù)據(jù)的DBMS通常由許多不同的安全系統(tǒng)包圍，這減少了攻擊的威脅。

十大數(shù)據(jù)庫漏洞

1. 默認(rèn)、空白及弱用戶名/密碼
2. SQL注入
3. 廣泛的用戶和組權(quán)限
4. 啟用不必要的數(shù)據(jù)庫功能
5. 失效的配置管理
6. 緩沖區(qū)溢出
7. 特權(quán)升級
8. 拒絕服務(wù)攻擊
9. 數(shù)據(jù)庫未打補(bǔ)丁
10. 敏感數(shù)據(jù)未加密

常見的安全做法

我記得我在2003年采訪了Oracle數(shù)據(jù)庫專家兼顧問Don Burleson。Don Burleson是一位著名的Oracle數(shù)據(jù)庫顧問，他的許多建議幾乎適用于任何數(shù)據(jù)庫管理系統(tǒng)。他說，最常見的安全錯誤是由數(shù)據(jù)庫管理員不能正確讀取安裝說明導(dǎo)致的。默認(rèn)密碼和用戶ID很容易被保留。數(shù)據(jù)庫管理員沒能很好地對數(shù)據(jù)庫訪問進(jìn)行限制，這也增加了入侵的風(fēng)險。

內(nèi)部威脅

Securosis的首席技術(shù)官Adrian Lane最近概述了企業(yè)在部署數(shù)據(jù)庫活動監(jiān)控（DAM）軟件時，可能會面臨的一些問題。Echelon One的安全專家David Mortman寫過一個專家技巧，概述了企業(yè)在減輕內(nèi)部威脅方面，可以采取的措施。

【編輯推薦】

1. 利益驅(qū)使 企業(yè)數(shù)據(jù)庫安全不容樂觀
2. 防微杜漸 數(shù)據(jù)庫安全解析
3. 專家講解數(shù)據(jù)庫安全 防范黑客入侵技術(shù)綜述