WEB开发网
开发学院数据库Oracle 从黑客角度检验oracle数据库 阅读

从黑客角度检验oracle数据库

 2008-09-08 12:51:22 来源:WEB开发网   
核心提示: 8 有效的输入:• Set the product_name to :– DVD Player• The SQL Statement is now:– SELECT * FROM PRODUCT WHEREProductName=’D

8 有效的输入:

  • Set the product_name to :
  
  – DVD Player
  
  • The SQL Statement is now:
  
  – SELECT * FROM PRODUCT WHERE
  
  ProductName=’DVD Player’

9 黑客输入:

  • Set the product_name to :
  
  – test’ UNION select username, password from
  
  dba_users where ‘a’ = ‘a
  
  • The SQL Statement is now:
  
  – SELECT * FROM PRODUCT WHERE
  
  ProductName=’test’ UNION select username,
  
  password from dba_users where ‘a’=‘a’

黑客可以从password的拷贝中获得一些杂乱的信息,来进行暴力破解。通过添加UNION的命令和第二语句,来得到dba_users表的内容。

10 防止SQl的注入

验证用户的输入

解析避免单一查询为双重查询

使用对象参数来设在参数

- Bind variables

回顾升级你的CGI脚步,ASP page,etc… 建议你对web设计者制订程序的方针,主要着重使用参数化查许和对sql语句的无连接字符串。

11 SQL Injection demo

ASP page, IIS web server ,Oracle database

四 Database Vulnerabilities

1 数据库安全问题

sqlnet.log

普遍的oracle安全问题

PL/SQL 的脆弱性。

主机操作系统

– Known Issues Installing Oracle

-Lockdown Protection Procedures

上一页  4 5 6 7 8 9 10  下一页

Tags:黑客 角度 检验

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接