黑客的选择：六大数据库攻击手段

核心提示： 那么，这些攻击是什么呢，黑客的选择：六大数据库攻击手段(2)，企业如何阻止这种攻击？下面我们看一下当今的黑客们正在利用的六大数据库攻击，多数攻击都利用了组织设置其数据库中的极明显的缺陷，Sentrigo的 Markovich 说，“你总可以在客户那里找到弱口令和易于猜测的口令，

那么，这些攻击是什么呢，企业如何阻止这种攻击？下面我们看一下当今的黑客们正在利用的六大数据库攻击。多数攻击都利用了组织设置其数据库中的极明显的缺陷。有一些缺陷对于内部的恶意人员更为有用，而另外一些由那些试图得到公司的贵重数据的不法之徒所利用。不管怎样，锁定数据库的唯一途径是认识到罪恶之手是如何进入的。

下面是六大数据库攻击：

1.强力（或非强力）破解弱口令或默认的用户名及口令

2.特权提升

3.利用未用的和不需要的数据库服务和和功能中的漏洞

4.针对未打补丁的数据库漏洞

5.SQL注入

6.窃取备份（未加密）的磁带

下面分别分析一下：

1.对弱口令或默认用户名/口令的破解

以前的Oracle数据库有一个默认的用户名：Scott及默认的口令：tiger；而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。

当然这些默认的登录对于黑客来说尤其方便，借此他们可以轻松地进入数据库。

Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来，它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。

Forrester的Yuhanna说，“问题是企业拥有15000个数据库，而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全，其它的就不太安全了。现在，较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。”

但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Markovich 说，“你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。”