版塊導(dǎo)航: 正在加載中...

登錄注冊

應(yīng)《網(wǎng)絡(luò)安全法》要求，自2017年10月1日起，未進(jìn)行實(shí)名認(rèn)證將不得使用互聯(lián)網(wǎng)跟帖服務(wù)。為保障您的帳號能夠正常使用，請盡快對帳號進(jìn)行手機(jī)號驗(yàn)證，感謝您的理解與支持！

24小時(shí)熱門版塊排行榜

北京石油化工學(xué)院2026年研究生招生接收調(diào)劑公告

返回列表

zyj8119

木蟲 (著名寫手)

應(yīng)助: 65 (初中生)
貴賓: 0.003
金幣: 915.1
散金: 1440
紅花: 35
帖子: 2936
在線: 1329.4小時(shí)
蟲號: 664177
注冊: 2008-11-29
性別: GG
專業(yè): 理論和計(jì)算化學(xué)

[交流] 【轉(zhuǎn)帖】10個(gè)最常見的數(shù)據(jù)庫缺陷已有1人參與

保護(hù)數(shù)據(jù)庫不是一件容易的事情，很多企業(yè)，包括數(shù)據(jù)庫管理員在內(nèi)，都存在僥幸心理，但黑客針對數(shù)據(jù)庫本身存在的缺陷很容易得逞，本文是Appsec的安全團(tuán)隊(duì)公布的10個(gè)最常見的數(shù)據(jù)庫缺陷，黑客經(jīng)常利用它們發(fā)起攻擊并得手，你，該引起注意了。
1、默認(rèn)，空白和弱用戶名/密碼
如果你管理著數(shù)百甚至數(shù)千個(gè)數(shù)據(jù)庫，要跟蹤是否在使用默認(rèn)，空白和弱用戶名/密碼是一個(gè)艱巨的任務(wù)，但消除默認(rèn)，空白和弱用戶名/密碼是保護(hù)數(shù)據(jù)庫的第一步，黑客會(huì)利用工具遍歷這些用戶名和密碼，而且最恐懼的是連最初級的黑客也能黑掉你。
2、SQL注入
當(dāng)你的數(shù)據(jù)庫對提交的SQL語句未做消毒處理，黑客可以利用URL構(gòu)造SQL注入代碼，暴露你的數(shù)據(jù)庫結(jié)構(gòu)，甚至直接查詢出用戶登錄憑據(jù)信息，進(jìn)而有機(jī)會(huì)進(jìn)行權(quán)限提升，雖然大多數(shù)數(shù)據(jù)庫廠商都發(fā)布了相關(guān)補(bǔ)丁來防止SQL注入，但如果你的數(shù)據(jù)庫剛好忘記打補(bǔ)丁，那它已經(jīng)不屬于你了。
3、用戶和組權(quán)限分配不當(dāng)
在給用戶和組分配權(quán)限，要確保分配適當(dāng)，應(yīng)按照最小特權(quán)原則進(jìn)行分配，并應(yīng)該遵循“權(quán)限–>角色（或組）–>用戶”逐級分配的原則，避免直接將權(quán)限分配給用戶，那樣會(huì)增加管理難度。
4、開啟不必要的數(shù)據(jù)庫功能
數(shù)據(jù)庫安裝好后許多功能都是開啟的，但一般來說，我們只會(huì)使用其中一小部分功能，如果你禁用或卸載那些不會(huì)使用的功能，將會(huì)增加數(shù)據(jù)庫被攻擊的攻擊面，禁用或卸載它們不禁減少了零日攻擊風(fēng)險(xiǎn)，也簡化了補(bǔ)丁管理，當(dāng)這些功能需要打補(bǔ)丁時(shí)，你才不會(huì)限于慌亂。
5、殘缺的配置管理
數(shù)據(jù)庫給管理員提供了大量的配置參數(shù)，有調(diào)整性能的，有增強(qiáng)功能的，但有些配置從安全角度來看是需要小心處理的，特別是很多默認(rèn)配置就不安全，還有就是數(shù)據(jù)庫官員為了圖省事，喜歡走捷徑，如將SQL Server數(shù)據(jù)庫的sa用戶開放給開發(fā)人員使用。
6、緩沖區(qū)溢出
緩沖區(qū)溢出是黑客最喜歡干的事情，什么是緩沖區(qū)溢出呢，說直白一點(diǎn)就是，數(shù)據(jù)庫能接收100個(gè)輸入字符，但黑客傳入了200或更多字符，造成數(shù)據(jù)庫處理不了，但又缺乏保護(hù)機(jī)制，這個(gè)時(shí)候就會(huì)造成緩沖區(qū)溢出，我們平常給數(shù)據(jù)庫打的補(bǔ)丁大部分都是修復(fù)這種漏洞的，因此不要忘了給你的數(shù)據(jù)庫打上最新的補(bǔ)丁。
7、權(quán)限提升
這也是黑客最喜歡干的事情，當(dāng)他們獲得一個(gè)低特權(quán)的用戶控制權(quán)時(shí)，就會(huì)想方設(shè)法提升賬號的權(quán)限，終極目標(biāo)就是獲得管理員權(quán)限，一個(gè)常見的招數(shù)就是嘗試執(zhí)行屬于sysdba的函數(shù)，因此保護(hù)好管理員所屬的函數(shù)和存儲(chǔ)過程非常重要，最好是逐個(gè)檢查它們的權(quán)限分配情況，不要輕易將它們分配給普通用戶。
8、拒絕服務(wù)攻擊
SQL Slammer曾經(jīng)讓無數(shù)企業(yè)和數(shù)據(jù)庫管理員頭大，讓人們意識到原來數(shù)據(jù)庫漏洞也可以被用來發(fā)起洪水流量攻擊，雖然SQL Slammer是在2003出現(xiàn)的，并且數(shù)據(jù)庫廠商早已推出了相關(guān)的補(bǔ)丁，但時(shí)至今日，仍然有大量的SQL Server數(shù)據(jù)庫未打補(bǔ)丁。
9、未打補(bǔ)丁的數(shù)據(jù)庫
我想你一定覺得我有點(diǎn)羅嗦了，但我覺得值得再重復(fù)提一次，許多數(shù)據(jù)庫管理員都未及時(shí)給數(shù)據(jù)庫打補(bǔ)丁，因?yàn)樗麄兒ε聢?zhí)行這個(gè)操作，擔(dān)心打補(bǔ)丁把數(shù)據(jù)庫弄壞了，雖然這種擔(dān)心很正常，但也不應(yīng)該作為借口，再說，現(xiàn)在數(shù)據(jù)庫廠商在發(fā)布補(bǔ)丁前都會(huì)經(jīng)過嚴(yán)格的測試的，如果你實(shí)在擔(dān)心害怕，可以在實(shí)驗(yàn)環(huán)境中測試一下再應(yīng)用到生產(chǎn)環(huán)境。
10、未加密的敏感數(shù)據(jù)

不管你的安全措施做得有多到位，都不要在數(shù)據(jù)庫中以明文形式存儲(chǔ)敏感數(shù)據(jù)，此外，所有數(shù)據(jù)庫連接都應(yīng)該全部加密。（文章來源：http://sou10.org/2090）

回復(fù)此樓

» 猜你喜歡

343求調(diào)劑085601 已經(jīng)有3人回復(fù)
08工科求調(diào)劑286 已經(jīng)有3人回復(fù)
337求調(diào)劑已經(jīng)有3人回復(fù)
329求調(diào)劑，一志愿西北工業(yè)大學(xué)，材料工程（085601）已經(jīng)有10人回復(fù)
一志愿北京化工大學(xué)材料與化工（085600）296求調(diào)劑已經(jīng)有16人回復(fù)
291求調(diào)劑已經(jīng)有6人回復(fù)
299求調(diào)劑已經(jīng)有10人回復(fù)
面上5B能上會(huì)嗎？已經(jīng)有4人回復(fù)
322求調(diào)劑：一志愿湖南大學(xué) 材料與化工（085600），已過六級。已經(jīng)有4人回復(fù)
085600 材料與化工 329分求調(diào)劑已經(jīng)有14人回復(fù)

» 本主題相關(guān)價(jià)值貼推薦，對您同樣有幫助:

【分享】代替QQ截圖，老牌專業(yè)截圖軟件SnagIt 10 Build 788 簡體中文漢化版【已搜無重已經(jīng)有8人回復(fù)
【求助/交流】SCI從入門到精通（轉(zhuǎn)載）已經(jīng)有80人回復(fù)

好好學(xué)習(xí)，天天向上。

1樓 2010-12-02 17:38:30

已閱回復(fù)此樓關(guān)注TA 給TA發(fā)消息送TA紅花 TA的回帖

HowToSignUp

銀蟲 (初入文壇)

應(yīng)助: 0 (幼兒園)
金幣: 385.6
紅花: 1
帖子: 24
在線: 8.4小時(shí)
蟲號: 1486129
注冊: 2011-11-10
專業(yè): 計(jì)算機(jī)軟件

★
小木蟲: 金幣+0.5, 給個(gè)紅包，謝謝回帖

好好學(xué)習(xí)啊，突然發(fā)現(xiàn)有好多地方我都是沒有做的。

贊一下

回復(fù)此樓

2樓2012-12-09 17:35:59

已閱回復(fù)此樓關(guān)注TA 給TA發(fā)消息送TA紅花 TA的回帖

相關(guān)版塊跳轉(zhuǎn) 我要訂閱樓主 zyj8119 的主題更新

返回列表

普通表情龍兔虎貓高級回復(fù) (可上傳附件)

最具人氣熱帖推薦 [查看全部]		作者	回/看	最后發(fā)表

[考研] 300求調(diào)劑，材料科學(xué)英一數(shù)二 +9	leaflight 2026-03-24	9/450	2026-03-29 14:18 by wxiongid
[考研] 一志愿北京理工大學(xué)本科211材料工程294求調(diào)劑 +8	mikasa的圍巾 2026-03-28	8/400	2026-03-29 12:48 by 無際的草原
[考研] 086000生物與醫(yī)藥調(diào)劑 +5	Feisty。 2026-03-28	9/450	2026-03-29 12:02 by longlotian
[考研] 各位老師好，我的一志愿為北京科技大學(xué)085601材料專碩 +8	Koxui 2026-03-28	8/400	2026-03-29 09:50 by laoshidan
[考研] 311求調(diào)劑 +5	冬十三 2026-03-24	5/250	2026-03-29 08:55 by qingfeng258
[考研] 一志愿華東師范大學(xué)有機(jī)化學(xué)專業(yè)，初試351分，復(fù)試被刷求調(diào)劑! +3	真名有冰 2026-03-29	4/200	2026-03-29 08:47 by qingfeng258
[考研] 305求調(diào)劑 +8	RuiFairyrui 2026-03-28	8/400	2026-03-29 08:22 by fmesaito
[考研] 315求調(diào)劑 +4	akie... 2026-03-28	5/250	2026-03-28 21:05 by zhq0425
[考研] 085701環(huán)境工程，267求調(diào)劑 +16	minht 2026-03-26	16/800	2026-03-28 12:16 by zllcz
[考研] 081200-314 +3	LILIQQ 2026-03-27	4/200	2026-03-28 09:41 by 保護(hù)地球你我做?/a>
[考研] 265求調(diào)劑11408 +3	劉小鹿lu 2026-03-27	3/150	2026-03-27 20:53 by nihaoar
[考研] 0703化學(xué)一志愿南京師范大學(xué)303求調(diào)劑 +3	zzffylgg 2026-03-24	3/150	2026-03-27 10:42 by shangxh
[考研] 一志愿陜師大生物學(xué)071000，298分，求調(diào)劑 +5	SYA！ 2026-03-23	5/250	2026-03-27 09:29 by 不吃魚的貓
[考研] 中國科學(xué)院深圳先進(jìn)技術(shù)研究院-光纖傳感課題組招生-中國科學(xué)院大學(xué)、深圳理工大學(xué)聯(lián)培 +5	YangTyu1 2026-03-26	5/250	2026-03-26 18:27 by 貓咪貓咪呀
[考研] 290分調(diào)劑求助 +3	吉祥止止陳 2026-03-25	3/150	2026-03-25 19:58 by barlinike
[考研] 各位老師您好：本人初試372分 +5	jj涌77 2026-03-25	6/300	2026-03-25 14:15 by mapenggao
[考研] B區(qū)考研調(diào)劑 +4	yqdszhdap－ 2026-03-22	5/250	2026-03-25 08:51 by baoball
[考研] 080500求調(diào)劑 +3	zzzzfan 2026-03-24	3/150	2026-03-24 16:38 by barlinike
[考研] 085404電子信息284分求調(diào)劑 +4	13659058978 2026-03-24	4/200	2026-03-24 12:15 by syl20081243
[考研] 284求調(diào)劑 +3	yanzhixue111 2026-03-23	6/300	2026-03-23 22:58 by pswait

亭亭五月天在线观看,亭亭五月天在线观看,国产最新av一区二区,国产 高清 中文字幕,99re热久久亚洲综合精品成人,熟妇 一区二区三区,一级做a爰片性色毛片武则天,美女的骚穴视频播放,国产美女午夜免费视频

24小時(shí)熱門版塊排行榜

zyj8119

[交流] 【轉(zhuǎn)帖】10個(gè)最常見的數(shù)據(jù)庫缺陷 已有1人參與

» 猜你喜歡

» 本主題相關(guān)價(jià)值貼推薦，對您同樣有幫助:

HowToSignUp

亭亭五月天在线观看,亭亭五月天在线观看,国产最新av一区二区,国产高清中文字幕,99re热久久亚洲综合精品成人,熟妇一区二区三区,一级做a爰片性色毛片武则天,美女的骚穴视频播放,国产美女午夜免费视频

[交流] 【轉(zhuǎn)帖】10個(gè)最常見的數(shù)據(jù)庫缺陷已有1人參與

» 本主題相關(guān)價(jià)值貼推薦，對您同樣有幫助: