数据库权限提升威胁
威胁 3 - 权限提升
攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是 SQL语句中找到。例如,一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限,恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。
威胁 4 - 平台漏洞
底层操作系统(Windows 2000、UNIX 等)中的漏洞和安装在数据库服务器上的其他服务中的漏洞可能导致未经授权的访问、数据破坏或拒绝服务。例如,“冲击波病毒”就是利用了Windows 2000的漏洞为拒绝服务攻击创造条件。
威胁 5 - SQL 注入
在SQL注入攻击中,入侵者通常将未经授权的数据库语句插入(或“注入”)到有漏洞的SQL数据信道中。通常情况下,攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后,这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入,攻击者可以不受限制地访问整个数据库。 防止SQL注入将以下三个技术结合使用可以有效地抵御SQL注入:入侵防御系统(IPS)、查询级别访问控制(请参阅“滥用过高权限”)和事件相关。IPS可以识别有漏洞的存储过程或SQL注入字符串。但是,单独使用IPS并不可靠, 因为SQL注入字符串很容易发生误报。如果只依赖IPS,安全管理人员会发现大量“可能的”SQL注入警报,被搞得焦头烂额。
威胁 6 - 审计记录不足
自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足,则组织将在很多级别上面临严重风险。
威胁 7 - 拒绝服务
拒绝服务 (DOS)是一个宽泛的攻击类别,在此攻击中正常用户对网络应用程序或数据的访问被拒绝。可以通过多种技巧为拒绝服务 (DOS)攻击创造条件,其中很多都与上文提到的漏洞有关。例如,可以利用数据库平台漏洞来制造拒绝服务攻击,从而使服务器崩溃。其他常见的拒绝服务攻击技巧包括数据破坏、网络泛洪和服务器资源过载(内存、CPU 等)。资源过载在数据库环境中尤为普遍。
网友评论