黑客的选择：六大数据库攻击手段

核心提示： 4.针对未打补丁的数据库漏洞好消息是Oracle和其它的数据库厂商确实在为其漏洞打补丁，坏消息是单位不能跟得上这些补丁，黑客的选择：六大数据库攻击手段(5)，因此它们总是处于企图利用某种机会的老谋深算的攻击者控制之下，数据库厂商总是小心翼翼地避免披露其补丁程序所修正的漏洞细节，数据库安全专

4.针对未打补丁的数据库漏洞

好消息是Oracle和其它的数据库厂商确实在为其漏洞打补丁。坏消息是单位不能跟得上这些补丁，因此它们总是处于企图利用某种机会的老谋深算的攻击者控制之下。

数据库厂商总是小心翼翼地避免披露其补丁程序所修正的漏洞细节，但单位仍以极大的人力和时间来苦苦挣扎，它会花费人力物力来测试和应用一个数据库补丁。例如，给程序打补丁要求对受补丁影响的所有应用程序都进行测试，这是项艰巨的任务。

Yuhanna 说，“最大问题是多数公司不能及时安装其程序补丁，一家公司告诉我，他们只能关闭其数据库一次，用六小时的时间打补丁，它们要冒着无法打补丁的风险，因为它们不能关闭其操作。”

Markovich说，在今天正在运行的多数Oracle数据库中，有至少10到20个已知的漏洞，黑客们可以用这些漏洞攻击进入。他说，“这些数据库并没有打补丁，如果一个黑客能够比较版本，并精确地找出漏洞在什么地方，那么，他就可以跟踪这个数据库。”

而且一些黑客站点将一些已知的数据库漏洞的利用脚本发布了出来，他说。即使跟得上补丁周期有极大困难，单位也应当打补丁。他说，例如，Oracle4月15日的补丁包含了数据库内部的17个问题。这些和其它的补丁都不应当掉以轻心。每一个问题都能够破坏你的数据库。

5.SQL注入

SQL注入式攻击并不是什么新事物了，不过近来在网站上仍十分猖狂。近来这种攻击又侵入了成千上万的有着鲜明立场的网站。

虽然受影响的网页和访问它的用户在这些攻击中典型情况下都受到了重视，但这确实是黑客们进入数据库的一个聪明方法。数据库安全专家们说，执行一个面向前端数据库Web应用程序的SQL注入攻击要比对数据库自身的攻击容易得多。直接针对数据库的SQL注入攻击很少见。