黑客的选择:六大数据库攻击手段
2008-09-19 13:26:35 来源:WEB开发网核心提示: 专家们说,经验法则应当说是仅给用户所需要的数据库访问和权力,黑客的选择:六大数据库攻击手段(4),不要有更多的东西,还有那些拥有合法访问的特权用户,因此只安装你所需要的,如果你并没有部署一种特性,他们头脑中可能并没有合法的操作,“你如何控制访问呢?这个领域也正在开始演化
专家们说,经验法则应当说是仅给用户所需要的数据库访问和权力,不要有更多的东西。
还有那些拥有合法访问的特权用户,他们头脑中可能并没有合法的操作。“你如何控制访问呢?这个领域也正在开始演化。”
3.利用未用的和不需要的数据库服务和功能中的漏洞
当然,一个外部的攻击者会寻找较弱的数据库口令,看其潜在的受害人是否在运行其Oracle数据库上运行监听程序(Listener)功能。监听程序可以搜索出到达Oracle数据库的网络连接,并可以转发此连接,这样一来就会将用户和数据库的链接暴露出来。
只需采用一些Google hacking攻击,一位攻击者就可以搜索并找到数据库服务上暴露的监听程序。Markovich 说,“许多客户并没有在监听程序上设置口令,因此,黑客就可以搜索字符串并找出Web上活动的监听程序。我刚才搜索了一下,发现有一些可引起人们注意的东西,如政府站点。这确实是一个大问题。”
其它的特性,如操作系统和数据库之间的钩子可以将数据库暴露给攻击者。这种钩子可以成为达到数据库的一个通信链接。Yuhanna说,“在你链接库和编写程序时…那将成为与数据库的界面,”你就是在将数据库暴露出去,并可能在无认证和无授权的情况下让黑客进入内部。
通常,数据库管理员并没有关闭不需要的服务。Julian 说,“他们只是任其开着。这种设计过时且管理跟不上,这是让其发挥实际作用的最简单方法。不需要的服务在基础结构中大摇大摆地存在,这会将你的漏洞暴露在外。”
关键是要保持数据库特性的精简,仅安装你必须使用的内容。别的东西一概不要。Markovich说,“任何特性都可被用来对付你,因此只安装你所需要的。如果你并没有部署一种特性,你就不需要以后为它打补丁。
[]
- ››六大功能!QQ空间装扮新版各栏目简介
- ››六大活动齐上阵,《英雄·美人》明日开新服
- ››黑客组织Dev-Team下周发布iPhone 4破解版
- ››黑客成功越狱iphone支持flash
- ››六大国内专业性的网络营销推广论坛与网站
- ››选择谁? 揭秘90后必备的音乐播放器
- ››黑客组织宣布实现完美越狱iPhone/iPad
- ››六大手机厂商角逐千元 Ophone 性能欲超 iPhone
- ››黑客成功为 iPhone 安装 Android 操作系统
- ››六大重要改变 诺基亚 Symbian 3 初解析
- ››选择性关闭Win 7视频预览 节约系统资源
- ››黑客攻防:关于运用Ajax的高级XSS技术
更多精彩
赞助商链接