問：您能簡單介紹一下與數(shù)據(jù)庫相關(guān)的權(quán)限升級嗎？如何確定我的公司是否有權(quán)限升級問題呢？

答：權(quán)限升級攻擊在用戶通過利用系統(tǒng)中的漏洞獲得額外的訪問系統(tǒng)權(quán)限時，就有可能發(fā)生。數(shù)據(jù)庫可能與其他具有權(quán)限升級的軟件一樣有類似的問題：如果數(shù)據(jù)庫功能或數(shù)據(jù)庫的其它部分有漏洞，用戶就可能利用該漏洞來獲取具有更高權(quán)限的用戶的帳號。

數(shù)據(jù)庫中因權(quán)限升級所引起的一個最大威脅是未授權(quán)的用戶能夠訪問存儲在數(shù)據(jù)庫中的敏感信息，但是這也有可能發(fā)生在文件系統(tǒng)中?？赡芪覀冃枰鼡牡氖且恍?shù)據(jù)庫允許具有升級權(quán)限的用戶在數(shù)據(jù)庫的授權(quán)下在操作系統(tǒng)中運行本地程序。權(quán)限升級漏洞也可能使攻擊者完全控制托管數(shù)據(jù)庫的系統(tǒng)，通過操作系統(tǒng)執(zhí)行命令。

為了確定公司是否有權(quán)限升級問題，首先你需要確定數(shù)據(jù)庫是否在最小權(quán)限下運行（這可能需要數(shù)據(jù)庫管理員的幫助，他了解應用程序的權(quán)限機制），然后確定用戶是否具有最小的訪問權(quán)限來完成他們的工作；這個需要在數(shù)據(jù)庫安全策略中解決。為了確定數(shù)據(jù)庫所使用的操作系統(tǒng)權(quán)限，請查找進程表，查看數(shù)據(jù)庫進程所使用的用戶ID。如果數(shù)據(jù)庫在根、管理員或其他授權(quán)賬戶下運行，就有可能出現(xiàn)權(quán)限升級問題。除了這個問題，具有權(quán)限來執(zhí)行軟件的用戶，或允許用戶在數(shù)據(jù)庫中執(zhí)行軟件的漏洞，這些問題都有可能造成更大的威脅。

【編輯推薦】

1. 保證Oracle數(shù)據(jù)庫安全性的策略和方法
2. 你所忽視的MySQL數(shù)據(jù)庫安全問題