導讀：普通的黑客從進入到退出一次數(shù)據(jù)庫攻擊只需用不到10秒鐘時間就可完成，這個時間對于數(shù)據(jù)庫管理員來說即使注意到入侵者都幾乎不夠。因此，在數(shù)據(jù)被損害很長時間之前，許多數(shù)據(jù)庫攻擊都沒有被單位注意到。所以黑客的行蹤我們很難發(fā)現(xiàn)，下文中為大家總結(jié)的這些黑客入侵數(shù)據(jù)庫的途徑，大家要守好關(guān)，將黑客拒之門外。

六大數(shù)據(jù)庫攻擊：

1.強力(或非強力)破解弱口令或默認的用戶名及口令

2.特權(quán)提升 Y(cJe|n 
3.利用未用的和不需要的數(shù)據(jù)庫服務(wù)和和功能中的漏洞

4.針對未打補丁的數(shù)據(jù)庫漏洞

5.SQL注入

6.竊取備份(未加密)的磁帶

詳細分析黑客入侵數(shù)據(jù)庫的六大途徑： 

1.對弱口令或默認用戶名/口令的破解

以前的Oracle數(shù)據(jù)庫有一個默認的用戶名：Scott及默認的口令：tiger;而微軟的SQL Server的系統(tǒng)管理員賬戶的默認口令是也是眾所周知。

當然這些默認的登錄對于黑客來說尤其方便，借此他們可以輕松地進入數(shù)據(jù)庫。

Oracle和其它主要的數(shù)據(jù)庫廠商在其新版本的產(chǎn)品中表現(xiàn)得聰明起來，它們不再讓用戶保持默認的和空的用戶名及口令等。但這并不意味著,所有的組織都在較老的數(shù)據(jù)庫中敞開著大門。

Forrester的Yuhanna說，“問題是企業(yè)擁有15000個數(shù)據(jù)庫，而完全地保護其安全并不容易。有時企業(yè)只能保障關(guān)鍵數(shù)據(jù)庫的安全，其它的就不太安全了。現(xiàn)在，較新的數(shù)據(jù)庫強制使你在安裝時改變系統(tǒng)管理員賬戶的默認口令。但較老的數(shù)據(jù)庫版本可能存在著問題。”

但即使是唯一的、非默認的數(shù)據(jù)庫口令也是不安全的。Sentrigo的 Markovich 說，“你總可以在客戶那里找到弱口令和易于猜測的口令。通過強力破解或只試著用不同的組合就可以輕易地找到這種口令。”

口令破解工具有很多，并且通過Google搜索或sectools.org等站點就可以輕易地獲得,這樣就會連接到Cain 、 Abel或John the Ripper等流行的工具。

保護自己免受口令攻擊的最佳方法：避免使用默認口令，建立強健的口令管理程序并對口令經(jīng)常改變。

2.特權(quán)提升

有幾種內(nèi)部人員攻擊的方法可以導致惡意的用戶占有超過其應(yīng)該具有的系統(tǒng)特權(quán)。而且外部的攻擊者有時通過破壞操作系統(tǒng)而獲得更高級別的特權(quán)。應(yīng)用安全公司的銷售副總裁Ted Julian說，“這是一種常見的威脅因素。”

特權(quán)提升通常更多地與錯誤的配置有關(guān)：一個用戶被錯誤地授與了超過其實際需要用來完成工作的、對數(shù)據(jù)庫及其相關(guān)應(yīng)用程序的訪問和特權(quán)。

Forrester的Yuhanna說，“這是一個控制問題。有時一個企業(yè)并沒有提供哪些人員需要訪問何種資源的良好框架結(jié)構(gòu),而且通常情況下，數(shù)據(jù)庫管理員并沒有從業(yè)務(wù)上理解企業(yè)的數(shù)據(jù)。這是問題之一。”

而且，有時一個內(nèi)部的攻擊者(或者一個已經(jīng)控制了受害人機器的外部的家伙)可以輕松地從一個應(yīng)用程序跳轉(zhuǎn)到數(shù)據(jù)庫，即使他并沒有這個數(shù)據(jù)庫的相關(guān)憑證也可以如此。Yuhanna 說，“一個非特權(quán)用戶可以試著連接到數(shù)據(jù)庫，只要他可以訪問一個系統(tǒng)，如CRM，他就可以用同樣的口令通過檢查，即使他沒有獲得此數(shù)據(jù)庫的授權(quán)。有些控制并沒有實現(xiàn)很好的集中化。”

Sentrigo的Markovich近來能夠通過一個擁有少量特權(quán)的用戶賬戶攻入一個客戶的數(shù)據(jù)庫。Markovich說，“他們要求我攻入其數(shù)據(jù)庫。我找到了一個少量特權(quán)的用戶口令，然后就進入了系統(tǒng)。然后我檢查了他的特權(quán)，他擁有對數(shù)據(jù)庫的只讀性訪問，因此一個少量特權(quán)的用戶可以訪問讀取數(shù)據(jù)庫內(nèi)的任何表，包括信用卡信息、個人信息。因此，我說：‘我不需要攻入數(shù)據(jù)庫。

專家們說，經(jīng)驗法則應(yīng)當說是僅給用戶所需要的數(shù)據(jù)庫訪問和權(quán)力，不要有更多的東西。

 還有那些擁有合法訪問的特權(quán)用戶，他們頭腦中可能并沒有合法的操作。“你如何控制訪問呢？這個領(lǐng)域也正在開始演化。”

3.利用未用的和不需要的數(shù)據(jù)庫服務(wù)和功能中的漏洞

當然，一個外部的攻擊者會尋找較弱的數(shù)據(jù)庫口令，看其潛在的受害人是否在運行其Oracle數(shù)據(jù)庫上運行監(jiān)聽程序(Listener)功能。監(jiān)聽程序可以搜索出到達Oracle數(shù)據(jù)庫的網(wǎng)絡(luò)連接，并可以轉(zhuǎn)發(fā)此連接，這樣一來就會將用戶和數(shù)據(jù)庫的鏈接暴露出來。

只需采用一些Google hacking攻擊，一位攻擊者就可以搜索并找到數(shù)據(jù)庫服務(wù)上暴露的監(jiān)聽程序。Markovich 說，“許多客戶并沒有在監(jiān)聽程序上設(shè)置口令，因此，黑客就可以搜索字符串并找出Web上活動的監(jiān)聽程序。我剛才搜索了一下，發(fā)現(xiàn)有一些可引起人們注意的東西，如政府站點。這確實是一個大問題。”

其它的特性，如操作系統(tǒng)和數(shù)據(jù)庫之間的鉤子可以將數(shù)據(jù)庫暴露給攻擊者。這種鉤子可以成為達到數(shù)據(jù)庫的一個通信鏈接。Yuhanna說，“在你鏈接庫和編寫程序時…那將成為與數(shù)據(jù)庫的界面，”你就是在將數(shù)據(jù)庫暴露出去，并可能在無認證和無授權(quán)的情況下讓黑客進入內(nèi)部。

通常，數(shù)據(jù)庫管理員并沒有關(guān)閉不需要的服務(wù)。Julian 說，“他們只是任其開著。這種設(shè)計過時且管理跟不上，這是讓其發(fā)揮實際作用的最簡單方法。不需要的服務(wù)在基礎(chǔ)結(jié)構(gòu)中大搖大擺地存在，這會將你的漏洞暴露在外。”

關(guān)鍵是要保持數(shù)據(jù)庫特性的精簡，僅安裝你必須使用的內(nèi)容。別的東西一概不要。Markovich說，“任何特性都可被用來對付你，因此只安裝你所需要的。如果你并沒有部署一種特性，你就不需要以后為它打補丁。”

4.針對未打補丁的數(shù)據(jù)庫漏洞

好消息是Oracle和其它的數(shù)據(jù)庫廠商確實在為其漏洞打補丁。壞消息是單位不能跟得上這些補丁，因此它們總是處于企圖利用某種機會的老謀深算的攻擊者控制之下。

數(shù)據(jù)庫廠商總是小心翼翼地避免披露其補丁程序所修正的漏洞細節(jié)，但單位仍以極大的人力和時間來苦苦掙扎，它會花費人力物力來測試和應(yīng)用一個數(shù)據(jù)庫補丁。例如，給程序打補丁要求對受補丁影響的所有應(yīng)用程序都進行測試，這是項艱巨的任務(wù)。

Yuhanna 說，“最大問題是多數(shù)公司不能及時安裝其程序補丁，一家公司告訴我，他們只能關(guān)閉其數(shù)據(jù)庫一次，用六小時的時間打補丁，它們要冒著無法打補丁的風險，因為它們不能關(guān)閉其操作。”

Markovich說，在今天正在運行的多數(shù)Oracle數(shù)據(jù)庫中，有至少10到20個已知的漏洞，黑客們可以用這些漏洞攻擊進入。他說，“這些數(shù)據(jù)庫并沒有打補丁，如果一個黑客能夠比較版本，并精確地找出漏洞在什么地方，那么，他就可以跟蹤這個數(shù)據(jù)庫。”

而且一些黑客站點將一些已知的數(shù)據(jù)庫漏洞的利用腳本發(fā)布了出來，他說。即使跟得上補丁周期有極大困難，單位也應(yīng)當打補丁。他說，例如，Oracle4月15日的補丁包含了數(shù)據(jù)庫內(nèi)部的17個問題。這些和其它的補丁都不應(yīng)當?shù)粢暂p心。每一個問題都能夠破壞你的數(shù)據(jù)庫。

5.SQL注入

SQL注入式攻擊并不是什么新事物了，不過近來在網(wǎng)站上仍十分猖狂。近來這種攻擊又侵入了成千上萬的有著鮮明立場的網(wǎng)站。

雖然受影響的網(wǎng)頁和訪問它的用戶在這些攻擊中典型情況下都受到了重視，但這確實是黑客們進入數(shù)據(jù)庫的一個聰明方法。數(shù)據(jù)庫安全專家們說，執(zhí)行一個面向前端數(shù)據(jù)庫Web應(yīng)用程序的SQL注入攻擊要比對數(shù)據(jù)庫自身的攻擊容易得多。直接針對數(shù)據(jù)庫的SQL注入攻擊很少見。

在字段可用于用戶輸入，通過SQL語句可以實現(xiàn)數(shù)據(jù)庫的直接查詢時，就會發(fā)生SQL攻擊。也就是說攻擊者需要提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)。

除客戶端之外，Web應(yīng)用程序是最脆弱的環(huán)節(jié)。有些情況下，如果攻擊者得到一個要求輸入用戶名和口令的應(yīng)用程序的屏幕，而且應(yīng)用程序并不檢查登錄的內(nèi)容的話，他所需要做的就是提供一個SQL語句或者數(shù)據(jù)庫命令，并直接轉(zhuǎn)向數(shù)據(jù)庫。Yuhanna說，問題是身份驗證和授權(quán)已經(jīng)被移交給了應(yīng)用程序服務(wù)器。

他說，“此時輸入的并不是一個用戶名，而是一個SQL命令。它被輸入到一個數(shù)據(jù)包中，并且由應(yīng)用程序服務(wù)器發(fā)送給數(shù)據(jù)庫。這個數(shù)據(jù)庫會讀取欺詐性的SQL命令，而且它能夠完全關(guān)閉整個數(shù)據(jù)庫。”

他說，“這是開發(fā)者的一種可悲的開發(fā)方法。你必須關(guān)注用戶正在輸入的內(nèi)容。不管你想執(zhí)行什么，數(shù)據(jù)庫都會執(zhí)行。這是很令人驚慌的問題。SQL注入式攻擊是一個很大的問題。”

Sentrigo 的Markovich說，從Web應(yīng)用程序到數(shù)據(jù)庫兩個方面都可以實施SQL注入式攻擊，而且可以從數(shù)據(jù)庫內(nèi)部實施。但有一些程序設(shè)計方法可有助于防止應(yīng)用程序中的SQL注入攻擊漏洞，如使用所謂的綁定變量(bind variable)或者使用參數(shù)進行查詢等。

Markovich說,在Java等語言中,這就意味著在SQL語句中將問號用作占位符,并將“接收”值與這些占位符綁定。另外一種方法是避免顯示某些數(shù)據(jù)庫錯誤消息,目的是避免將可能敏感的信息透露給潛在的攻擊者。

6.竊取(未加密的)備份磁帶

如果備份磁帶在運輸或倉儲過程中丟失，而這些磁帶上的數(shù)據(jù)庫數(shù)據(jù)又沒有加密的話，一旦它落于罪惡之手，這時黑客根本不需要接觸網(wǎng)絡(luò)就可以實施破壞。

但這類攻擊更可能發(fā)生在將介質(zhì)銷售給攻擊者的一個內(nèi)部人員身上。只要被竊取的或沒有加密的磁帶不是某種Informix或HP-UX 上的DB2等較老的版本，黑客們需要做的只是安裝好磁帶，然后他們就會獲得數(shù)據(jù)庫。

Julian說，“當然，如果不是一種受內(nèi)部人員驅(qū)動的攻擊，它就是非主要的。”他說，同樣的原因，閃盤也是另外一種風險。

除了沒有對備份介質(zhì)上的數(shù)據(jù)進行加密等明顯的預(yù)防措施，一些單位并沒有一直將標簽貼在其備份介質(zhì)上。“人們備份了許多數(shù)據(jù)，但卻疏于跟蹤和記錄。”Yuhanna說，“磁帶容易遭受攻擊，因為沒有人會重視它，而且企業(yè)在多數(shù)時間并不對其加密。”

通過上文的介紹我們知道了黑客入侵數(shù)據(jù)庫的途徑，下一步我們就需要在這些方面重點做好防護工作，以確保數(shù)據(jù)庫的安全。

【編輯推薦】

1. 8步輕松實現(xiàn)整體數(shù)據(jù)庫安全
2. 提高Oracle數(shù)據(jù)庫系統(tǒng)性能方法匯總
3. Oracle數(shù)據(jù)庫中索引樹的結(jié)構(gòu)與塊尺寸
4. 黑客狙擊Oracle系統(tǒng)的八大套路