10個(gè)最常見(jiàn)的數(shù)據(jù)庫(kù)缺陷

10個(gè)最常見(jiàn)的數(shù)據(jù)庫(kù)缺陷
保護(hù)數(shù)據(jù)庫(kù)不是一件容易的事情，很多企業(yè)，包括數(shù)據(jù)庫(kù)管理員在內(nèi)，都存在僥幸心理，但黑客針對(duì)數(shù)據(jù)庫(kù)本身存在的缺陷很容易得逞，本文是Appsec的安全團(tuán)隊(duì)公布的10個(gè)最常見(jiàn)的數(shù)據(jù)庫(kù)缺陷，黑客經(jīng)常利用它們發(fā)起攻擊并得手，你，該引起注意了。
1、默認(rèn)，空白和弱用戶名/密碼
如果你管理著數(shù)百甚至數(shù)千個(gè)數(shù)據(jù)庫(kù)，要跟蹤是否在使用默認(rèn)，空白和弱用戶名/密碼是一個(gè)艱巨的任務(wù)，但消除默認(rèn)，空白和弱用戶名/密碼是保護(hù)數(shù)據(jù)庫(kù)的第一步，黑客會(huì)利用工具遍歷這些用戶名和密碼，而且最恐懼的是連最初級(jí)的黑客也能黑掉你。
2、SQL注入
當(dāng)你的數(shù)據(jù)庫(kù)對(duì)提交的SQL語(yǔ)句未做消毒處理，黑客可以利用URL構(gòu)造SQL注入代碼，暴露你的數(shù)據(jù)庫(kù)結(jié)構(gòu)，甚至直接查詢出用戶登錄憑據(jù)信息，進(jìn)而有機(jī)會(huì)進(jìn)行權(quán)限提升，雖然大多數(shù)數(shù)據(jù)庫(kù)廠商都發(fā)布了相關(guān)補(bǔ)丁來(lái)防止SQL注入，但如果你的數(shù)據(jù)庫(kù)剛好忘記打補(bǔ)丁，那它已經(jīng)不屬于你了。
3、用戶和組權(quán)限分配不當(dāng)
在給用戶和組分配權(quán)限，要確保分配適當(dāng)，應(yīng)按照最小特權(quán)原則進(jìn)行分配，并應(yīng)該遵循“權(quán)限–>角色（或組）–>用戶”逐級(jí)分配的原則，避免直接將權(quán)限分配給用戶，那樣會(huì)增加管理難度。
4、開(kāi)啟不必要的數(shù)據(jù)庫(kù)功能
數(shù)據(jù)庫(kù)安裝好后許多功能都是開(kāi)啟的，但一般來(lái)說(shuō)，我們只會(huì)使用其中一小部分功能，如果你禁用或卸載那些不會(huì)使用的功能，將會(huì)增加數(shù)據(jù)庫(kù)被攻擊的攻擊面，禁用或卸載它們不禁減少了零日攻擊風(fēng)險(xiǎn)，也簡(jiǎn)化了補(bǔ)丁管理，當(dāng)這些功能需要打補(bǔ)丁時(shí)，你才不會(huì)限于慌亂。
5、殘缺的配置管理
數(shù)據(jù)庫(kù)給管理員提供了大量的配置參數(shù)，有調(diào)整性能的，有增強(qiáng)功能的，但有些配置從安全角度來(lái)看是需要小心處理的，特別是很多默認(rèn)配置就不安全，還有就是數(shù)據(jù)庫(kù)官員為了圖省事，喜歡走捷徑，如將SQL Server數(shù)據(jù)庫(kù)的sa用戶開(kāi)放給開(kāi)發(fā)人員使用。
6、緩沖區(qū)溢出
緩沖區(qū)溢出是黑客最喜歡干的事情，什么是緩沖區(qū)溢出呢，說(shuō)直白一點(diǎn)就是，數(shù)據(jù)庫(kù)能接收100個(gè)輸入字符，但黑客傳入了200或更多字符，造成數(shù)據(jù)庫(kù)處理不了，但又缺乏保護(hù)機(jī)制，這個(gè)時(shí)候就會(huì)造成緩沖區(qū)溢出，我們平常給數(shù)據(jù)庫(kù)打的補(bǔ)丁大部分都是修復(fù)這種漏洞的，因此不要忘了給你的數(shù)據(jù)庫(kù)打上最新的補(bǔ)丁。
7、權(quán)限提升
這也是黑客最喜歡干的事情，當(dāng)他們獲得一個(gè)低特權(quán)的用戶控制權(quán)時(shí)，就會(huì)想方設(shè)法提升賬號(hào)的權(quán)限，終極目標(biāo)就是獲得管理員權(quán)限，一個(gè)常見(jiàn)的招數(shù)就是嘗試執(zhí)行屬于sysdba的函數(shù)，因此保護(hù)好管理員所屬的函數(shù)和存儲(chǔ)過(guò)程非常重要，最好是逐個(gè)檢查它們的權(quán)限分配情況，不要輕易將它們分配給普通用戶。
8、拒絕服務(wù)攻擊
SQL Slammer曾經(jīng)讓無(wú)數(shù)企業(yè)和數(shù)據(jù)庫(kù)管理員頭大，讓人們意識(shí)到原來(lái)數(shù)據(jù)庫(kù)漏洞也可以被用來(lái)發(fā)起洪水流量攻擊，雖然SQL Slammer是在2003出現(xiàn)的，并且數(shù)據(jù)庫(kù)廠商早已推出了相關(guān)的補(bǔ)丁，但時(shí)至今日，仍然有大量的SQL Server數(shù)據(jù)庫(kù)未打補(bǔ)丁。
9、未打補(bǔ)丁的數(shù)據(jù)庫(kù)
我想你一定覺(jué)得我有點(diǎn)羅嗦了，但我覺(jué)得值得再重復(fù)提一次，許多數(shù)據(jù)庫(kù)管理員都未及時(shí)給數(shù)據(jù)庫(kù)打補(bǔ)丁，因?yàn)樗麄兒ε聢?zhí)行這個(gè)操作，擔(dān)心打補(bǔ)丁把數(shù)據(jù)庫(kù)弄壞了，雖然這種擔(dān)心很正常，但也不應(yīng)該作為借口，再說(shuō)，現(xiàn)在數(shù)據(jù)庫(kù)廠商在發(fā)布補(bǔ)丁前都會(huì)經(jīng)過(guò)嚴(yán)格的測(cè)試的，如果你實(shí)在擔(dān)心害怕，可以在實(shí)驗(yàn)環(huán)境中測(cè)試一下再應(yīng)用到生產(chǎn)環(huán)境。
10、未加密的敏感數(shù)據(jù)

不管你的安全措施做得有多到位，都不要在數(shù)據(jù)庫(kù)中以明文形式存儲(chǔ)敏感數(shù)據(jù)，此外，所有數(shù)據(jù)庫(kù)連接都應(yīng)該全部加密。