文档章节

让攻击者轻松入侵数据库的七个不良习惯

孟飞阳
 孟飞阳
发布于 2016/07/10 22:23
字数 1390
阅读 36
收藏 5
点赞 0
评论 0

不好的数据库安全习惯给攻击者和恶意内部人员大开了方便之门,数据泄漏事故的发生往往是因为企业一遍又一遍重复同样的错误,而这些不良行为通常是从数据库开始的。本文为大家分析了让攻击者和恶意内部人员轻松获取数据库访问权的七个不良习惯,希望大家引以为戒!

  1. 数据库未及时修复漏洞

  数据库管理员担心修复最新漏洞会影响功能,但是却不担心修复周期无限期拖延会让最业余的攻击者都能够窃取大量数据。

  “一些大漏洞会在每个补丁中进行修复,而利用代码也总是可以在网上找到,攻击者可以剪切粘贴来用于攻击,”Application Security公司的首席技术官Josh Shaul表示。

  2. 没有寻找流氓数据库

  对于你不知道的数据库,你无法确保其安全,Fortinet公司产品营销副总裁Patrick Bedwell表示,他经常发现客户不会保持他们数据库的库存,或者扫描流氓数据库,这是一个问题,因为确实存在流氓数据库。

  “常见的做法试安装小型footprint数据库,并在数据库中装满供开发和测试使用的生产数据,”Bedwell表示。

  攻击者很喜欢企业不追踪流氓数据库,因为这些数据库通常都是没打补丁的,大门敞开的,因为安全团队并没有注意它们。

  3. 给予过多特权

  当时间很紧急,资源有限时,企业很容易忽略用户的权限,可能只是将特权给予整个用户群,然后去忙别的事情了,Imperva公司高级安全策略师Noa Bar Yosef表示。但是只要一个用户滥用这些特权就可能造成巨大的问题。

  “考虑Diablo Valley社区学院的情况,三年以来,他们都让数据库管理员修改学生的成绩,”她表示,“当数据泄漏曝光后,他们发现在授予数据库管理员权限的100名用户中,只有11名用户真正需要这个权限。”

  给予过多权限的问题在于,用户不仅可以做他们不应该做的事情,而且他们不会受到制裁,因为那些行为并没有被预料,Application Security公司的研究部门经理Alex Rothacker表示。

  “给予过多权限的侧面影响在于,用户可以在他们没有授权的数据库或者操作系统进行操作,”他表示,“例如,在应付帐款部门具有特权的用户可以创造一个虚假的公司,向这个公司支付费用,然后删除所有关于该公司的记录以掩盖他们的踪迹。”

  4. 允许使用默认用户名/密码

  使用默认用户名和密码就像为数据库盗贼敞开大门一样。但是很多公司仍然这样做,因为很多应用程序输入数据库信息都是与默认帐户同步的,更改密码可能会破坏某些东西。

  5. 没有自我检查

  仔细检查你的用户在做什么,数据库是如何被使用的,数据库容易受到哪种类型的攻击等。

  然而大部分安全专家同意,大多数企业没有监测用户或者审计数据库行为,因为他们并不担心会受到行为。

  “这是一个不能停歇的战斗,安全专业人士需要依赖于审计和数据库管理员,同时又需要更好的性能。在为客户提供服务方面,性能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最后,或者说发生数据泄漏的时候,他们才会知道发现、恢复和问责制的重要性。”

  根据安全咨询公司Brainlink公司首席技术官Rajesh Goel表示,很多公司还会否定安全评估或者渗透测试人员将数据库放在攻击考虑范围内,即便这是恶意攻击者最先瞄准的目标。

  6. 允许任意互联网连接和输入

  当数据库连接到互联网时,任意客户端都可以不受限制地访问数据库,这样的话,不好的事情也将发生。

  “这意味着SQL注入攻击将造成毁灭性影响,将泄漏任意数据,”Arbor Networks公司安全研究高级经理Jose Nazario表示,“将权利和角色分开还有很长一段路要走,可以使用只读角色来用于web服务。”

  同样的,用户输入需要被监测以防止注入和拒绝服务攻击,并且不受新人的用户应该永远不能过直接查询表格或者数据库对象名称,例如表格、函数或者视图。

  7.没有加密

  根据403 Web Security公司首席执行官Alan Wlasuk表示,最简单最愚蠢的数据库安全错误就是没有加密他们的数据库。 

  “这样就能让攻击者最终进入你的数据库,攻击者很难进入加密的数据库,加密是免费、快速和易于使用的。”

© 著作权归作者所有

共有 人打赏支持
孟飞阳
粉丝 202
博文 893
码字总数 530681
作品 5
朝阳
个人站长
【安全专题】为什么我的网站老被黑(一):网站漏洞问题

互联网发展至今,已经不可或缺,少了互联网的世界无法想象,或许会让人窒息。越来越多的企业,个人都选择将在网络上搭建自己的网站,希望将自己的企业形象,商品或者个人的想法、观点展示到网...

废柴阿刚 ⋅ 2017/12/24 ⋅ 0

编写安全 PHP 应用程序的七个习惯

编写安全 PHP 应用程序的七个习惯 在提及安全性问题时,需要注意,除了实际的平台和操作系统安全性问题之外,您还需要确保编写安全的应用程序。在编写 PHP 应用程序时,请应用下面的七个习惯...

thinkyoung ⋅ 2015/04/13 ⋅ 0

史上信息量最大数据库在线曝光!14亿明文密码正在暗网流通

  黑客总是喜欢通过破解最薄弱的环节,来快速获取访问你在线账户的权限。一般来说,在线用户都习惯在多个服务中重复使用相同的密码,而正是这一不良习惯使得攻击者有机会从之前泄漏的数据中...

大数据头条 ⋅ 2017/12/14 ⋅ 0

web防火墙抵御攻击是如何实现的

WAF的核心技术在于对Web攻击防护的能力和对HTTP本质的理解。前者要求WAF能完整地解析HTTP,包括报文头部、参数及载荷;支持各种HTTP编码;提供严格的HTTP协议验证;提供HTML限制;支持各类字符集...

上树的熊 ⋅ 06/12 ⋅ 0

Web安全趋势与核心防御机制

Web安全趋势与核心防御机制 孟飞阳 2012年1月16日 一. WEB安全技术产生原因 早期:万维网(World Wide Web)仅有Web站点构成,这些站点基本上是包含静态文档的信息库。这种信息流仅由服务器...

孟飞阳 ⋅ 2016/07/10 ⋅ 9

黑客入侵技术密码的十大方法

黑客技术入门之十个常用破解网络密码的方法 个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,例如网络银行的存款被转账盗用,网络游戏内的...

moguy ⋅ 2016/11/18 ⋅ 0

BUF早餐铺 谷歌应用商店下架70多万恶意安卓应用;Facebook屏蔽加密货币和ICO 广告;荷兰银行机构遭DDoS攻击;骗子冒充漏洞平台诈骗白帽子

     昨夜月明人尽望,今朝几人吃早餐?      各位 Buffer 早上好,今天是 2018 年 2 月 1 日星期四,农历腊月十六。昨晚的“超级蓝月亮”大家都欣赏了吗?不论潮涨潮落,月圆月缺,...

FreeBuf ⋅ 02/01 ⋅ 0

央视曝光安卓新漏洞:不知不觉复制你的支付宝

  近日央视财经频道节目中曝光了一种安卓新漏洞,攻击者可以轻松复制受害者手机的软件和登陆信息,而且像支付宝这种移动支付也能直接盗用来消费。   具体的盗取流程是,攻击者发送一条带...

中关村在线 ⋅ 01/17 ⋅ 0

如何判断 Linux 服务器是否被入侵?

本指南中所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。 免责声明:若你的服务器被类似 NSA 这样的...

作者: Elliot Cooper ⋅ 2017/12/06 ⋅ 0

Java漏洞刚被补上 攻击代码随后就到

使用Java虚拟机的您如果还没有安装Sun针对Mac OS X、Windows、Linux的最新安全更新,现在将是一个弥补过错的时机。 一名安全研究人员当地时间周四发布了一个源于Mac OS X中Java运行时的环境漏...

红薯 ⋅ 2009/12/05 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

知乎Java数据结构

作者:匿名用户 链接:https://www.zhihu.com/question/35947829/answer/66113038 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 感觉知乎上嘲讽题主简...

颖伙虫 ⋅ 今天 ⋅ 0

Confluence 6 恢复一个站点有关使用站点导出为备份的说明

推荐使用生产备份策略。我们推荐你针对你的生产环境中使用的 Confluence 参考 Production Backup Strategy 页面中的内容进行备份和恢复(这个需要你备份你的数据库和 home 目录)。XML 导出备...

honeymose ⋅ 今天 ⋅ 0

JavaScript零基础入门——(九)JavaScript的函数

JavaScript零基础入门——(九)JavaScript的函数 欢迎回到我们的JavaScript零基础入门,上一节课我们了解了有关JS中数组的相关知识点,不知道大家有没有自己去敲一敲,消化一下?这一节课,...

JandenMa ⋅ 今天 ⋅ 0

火狐浏览器各版本下载及插件httprequest

各版本下载地址:http://ftp.mozilla.org/pub/mozilla.org//firefox/releases/ httprequest插件截至57版本可用

xiaoge2016 ⋅ 今天 ⋅ 0

Docker系列教程28-实战:使用Docker Compose运行ELK

原文:http://www.itmuch.com/docker/28-docker-compose-in-action-elk/,转载请说明出处。 ElasticSearch【存储】 Logtash【日志聚合器】 Kibana【界面】 答案: version: '2'services: ...

周立_ITMuch ⋅ 今天 ⋅ 0

使用快嘉sdkg极速搭建接口模拟系统

在具体项目研发过程中,一旦前后端双方约定好接口,前端和app同事就会希望后台同事可以尽快提供可供对接的接口方便调试,而对后台同事来说定好接口还仅是个开始、设计流程,实现业务逻辑,编...

fastjrun ⋅ 今天 ⋅ 0

PXE/KickStart 无人值守安装

导言 作为中小公司的运维,经常会遇到一些机械式的重复工作,例如:有时公司同时上线几十甚至上百台服务器,而且需要我们在短时间内完成系统安装。 常规的办法有什么? 光盘安装系统 ===> 一...

kangvcar ⋅ 昨天 ⋅ 0

使用Puppeteer撸一个爬虫

Puppeteer是什么 puppeteer是谷歌chrome团队官方开发的一个无界面(Headless)chrome工具。Chrome Headless将成为web应用自动化测试的行业标杆。所以我们很有必要来了解一下它。所谓的无头浏...

小草先森 ⋅ 昨天 ⋅ 0

Java Done Right

* 表示难度较大或理论性较强。 ** 表示难度更大或理论性更强。 【Java语言本身】 基础语法,面向对象,顺序编程,并发编程,网络编程,泛型,注解,lambda(Java8),module(Java9),var(...

风华神使 ⋅ 昨天 ⋅ 0

Linux系统日志

linux 系统日志 /var/log/messages /etc/logrotate.conf 日志切割配置文件 https://my.oschina.net/u/2000675/blog/908189 logrotate 使用详解 dmesg 命令 /var/log/dmesg 日志 last命令,调......

Linux学习笔记 ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部