??? Oracle的銷售在向客戶兜售其數(shù)據(jù)庫(kù)系統(tǒng)一直把它吹捧為牢不可破的����,耍嘴皮子容易,兌現(xiàn)起來(lái)可就不那么容易了�����。不管什么計(jì)算機(jī)系統(tǒng),人們總能夠找到攻擊它的方法����,Oracle也不例外。本文將和大家從黑客的角度討論黑客是用哪些方法把黑手伸向了你原以為他們不能觸及的數(shù)據(jù)�����,希望作為Oracle的數(shù)據(jù)庫(kù)管理員能夠清楚的闡明自己基礎(chǔ)架構(gòu)的哪些區(qū)域比較容易受到攻擊�����。同時(shí)我們也會(huì)討論保護(hù)系統(tǒng)防范攻擊的方法�。
??? 1.SQL注入攻擊
??? 如今大部分的Oracle數(shù)據(jù)庫(kù)都具有為某種類型網(wǎng)絡(luò)應(yīng)用服務(wù)的后端數(shù)據(jù)存儲(chǔ)區(qū),網(wǎng)頁(yè)應(yīng)用使數(shù)據(jù)庫(kù)更容易成為我們的攻擊目標(biāo)體現(xiàn)在三個(gè)方面�。其一,這些應(yīng)用界面非常復(fù)雜����,具有多個(gè)組成成分����,使數(shù)據(jù)庫(kù)管理員難以對(duì)它們進(jìn)行徹底檢查。其二�,阻止程序員侵入的屏障很低���,即便不是C語(yǔ)言的編程專家,也能夠?qū)σ恍╉?yè)面進(jìn)行攻擊���。下面我們會(huì)簡(jiǎn)單地解釋為什么這對(duì)我們這么重要����。第三個(gè)原因是優(yōu)先級(jí)的問(wèn)題�����。網(wǎng)頁(yè)應(yīng)用一直處于發(fā)展的模式�,所以他們?cè)诓粩嘧兓脐惓鲂?。這樣安全問(wèn)題就不是一個(gè)必須優(yōu)先考慮的問(wèn)題。
??? SQL注入攻擊是一種很簡(jiǎn)單的攻擊����,在頁(yè)面表單里輸入信息,悄悄地加入一些特殊代碼����,誘使應(yīng)用程序在數(shù)據(jù)庫(kù)里執(zhí)行這些代碼,并返回一些程序員沒(méi)有料到的結(jié)果。例如�,有一份用戶登錄表格,要求輸入用戶名和密碼才能登錄�����,在用戶名這一欄���,輸入以下代碼:
cyw'); select username, password from all_users;--
??? 如果數(shù)據(jù)庫(kù)程序員沒(méi)有聰明到能夠檢查出類似的信息并"清洗"掉我們的輸入����,該代碼將在遠(yuǎn)程數(shù)據(jù)庫(kù)系統(tǒng)執(zhí)行���,然后這些關(guān)于所有用戶名和密碼的敏感數(shù)據(jù)就會(huì)返回到我們的瀏覽器�����。
??? 你可能會(huì)認(rèn)為這是在危言聳聽(tīng)���,不過(guò)還有更絕的。David Litchfield在他的著作《Oracle黑客手冊(cè)》(Oracle Hacker's Handbook)中把某種特殊的pl/sql注入攻擊美其名曰:圣杯(holy grail)�,因?yàn)樗racle 8到Oracle10g的所有Oracle數(shù)據(jù)庫(kù)版本。很想知道其作用原理吧�����。你可以利用一個(gè)被稱為DBMS_EXPORT_EXTENSION的程序包���,使用注入攻擊獲取執(zhí)行一個(gè)異常處理程序的代碼����,該程序會(huì)賦予用戶或所有相關(guān)用戶數(shù)據(jù)庫(kù)管理員的特權(quán)����。
??? 這就是Oracle發(fā)布的著名安全升級(jí)補(bǔ)丁Security Alert 68所針對(duì)的漏洞。不過(guò)據(jù)Litchfield稱���,這些漏洞是永遠(yuǎn)無(wú)法完全修補(bǔ)完畢的���。
??? 防范此類攻擊的方法
??? 總而言之,雖說(shuō)沒(méi)有萬(wàn)能的防彈衣���,但鑒于這個(gè)問(wèn)題涉及到所有面向網(wǎng)絡(luò)的應(yīng)用軟件�,還是要盡力防范�����。目前市面上有各式各樣可加以利用的SQL注入檢測(cè)技術(shù)?���?梢詤⒄説ttp://www.securityfocus.com/infocus/1704 系列文章的詳細(xì)介紹。
??? 還可以用不同的入侵檢測(cè)工具在不同的水平上檢測(cè)SQL注入攻擊�。訪問(wèn)專門(mén)從事Oracle安全性研究的Pete Finnigan的安全網(wǎng)站http://www.petefinnigan.com/orasec.htm,在該網(wǎng)頁(yè)搜索"sql injection"���,可以獲得更多相關(guān)信息���。Pete Finnigan曾在其博客上報(bào)告稱Steven Feurstein目前正在編寫(xiě)一個(gè)稱為SQL Guard 的pl/sql程序包,專門(mén)用來(lái)防止SQL注入攻擊�,詳情請(qǐng)查看以下網(wǎng)頁(yè)http://www.petefinnigan.com/weblog/archives/00001115.htm。
??? 對(duì)于軟件開(kāi)發(fā)人員來(lái)說(shuō)���,很多軟件包都能夠幫助你"清洗"輸入信息�。如果你調(diào)用對(duì)從頁(yè)面表單接受的每個(gè)值都調(diào)用清洗例行程序進(jìn)行處理���,這樣可以更加嚴(yán)密的保護(hù)你的系統(tǒng)����。不過(guò)����,最好使用SQL注入工具對(duì)軟件進(jìn)行測(cè)試和驗(yàn)證���,以確保萬(wàn)無(wú)一失�。
??? 1. 默認(rèn)密碼
??? Oracle數(shù)據(jù)庫(kù)是一個(gè)龐大的系統(tǒng),提供了能夠創(chuàng)建一切的模式�����。絕大部分的系統(tǒng)自帶用戶登錄都配備了預(yù)設(shè)的默認(rèn)密碼�����。想知道數(shù)據(jù)庫(kù)管理員工作是不是夠勤奮?這里有一個(gè)方法可以找到答案�����?����?纯聪旅孢@些最常用的預(yù)設(shè)用戶名和密碼是不是能夠登錄到數(shù)據(jù)庫(kù)吧:
Username Password
applsys apps
ctxsys change_on_install
dbsnmp dbsnmp
outln outln
owa owa
perfstat perfstat
scott tiger
system change_on_install
system manager
sys change_on_install
sys manager
??? 就算數(shù)據(jù)庫(kù)管理員已經(jīng)很勤奮的把這些默認(rèn)配對(duì)都改了�����,有時(shí)候想猜出登錄密碼也不是一件困難的事情,逐個(gè)試試"oracle"���、"oracle4"�、"oracle8i"�、"oracle11g",看看碰巧是不是有一個(gè)能登錄上去的�����。
Pete Finnigan提供了一份關(guān)于缺省用戶和對(duì)應(yīng)密碼的名單����,該名單非常全面而且是最新的,并包括已經(jīng)加密的密碼�����。如果你用all_users來(lái)進(jìn)行查詢�,可以嘗試并比較一下這份名單,詳細(xì)名單請(qǐng)參閱:http://www.petefinnigan.com/default/default_password_list.htm�����。
??? 防范此類攻擊的方法
??? 作為數(shù)據(jù)庫(kù)管理員�,應(yīng)該定期審核所有的數(shù)據(jù)庫(kù)密碼���,如果某些商業(yè)方面的阻力使你不能輕易更改容易被人猜出的密碼,你可以盡量心平氣和地和相關(guān)人員解釋�����,用一些直觀的例子來(lái)闡明如果不修改密碼的話會(huì)有什么不好的事情發(fā)生���,會(huì)有什么樣的風(fēng)險(xiǎn)存在。
??? Oracle也提供了密碼安全profile�,你可以激活該profile,在某種水平上加強(qiáng)數(shù)據(jù)庫(kù)密碼的復(fù)雜性���,還可以執(zhí)行定期密碼失效���。要注意要把這個(gè)功能設(shè)置為只對(duì)通過(guò)網(wǎng)絡(luò)服務(wù)器或中間層應(yīng)用服務(wù)器登錄的事件起作用。
??? 2. 蠻力攻擊(Brute Force)
??? 蠻力攻擊���,就像其名字所暗示的����,就是不停的撬����,直到"鎖"打開(kāi)為止的方法�����。對(duì)于Oracle數(shù)據(jù)庫(kù)來(lái)說(shuō)�����,就是用某種自動(dòng)執(zhí)行的進(jìn)程����,通過(guò)嘗試所有的字母數(shù)字組合來(lái)破解用戶名和密碼�����。
??? Unix的管理員就可以利用一款名為John the Ripper的密碼破解軟件來(lái)執(zhí)行這類的攻擊?����,F(xiàn)在如果你下載某個(gè)補(bǔ)丁���,你也可以利用這款軟件來(lái)對(duì)Oracle進(jìn)行蠻力攻擊����,敲開(kāi)其密碼。不過(guò)根據(jù)密碼的復(fù)雜程度不同�,這可能是個(gè)很費(fèi)時(shí)的過(guò)程,如果你想加快這個(gè)進(jìn)程�����,可以事先準(zhǔn)備一張包含所有密碼加密的表����,這樣的表叫做Rainbow table,你可以為每個(gè)用戶名準(zhǔn)備一張不同的rainbow table����,因?yàn)檫@種密碼加密算法把用戶名作為助燃劑���。在這里就不再深入介紹更多的細(xì)節(jié)問(wèn)題了�,大家可以查閱http://www.antsight.com/zsl/rainbowcrack/獲得更多信息�����。
??? Oracle服務(wù)器的默認(rèn)設(shè)置是�,對(duì)某個(gè)特定帳戶輸錯(cuò)密碼達(dá)十次就會(huì)自動(dòng)鎖定該帳戶。不過(guò)通常"sys as sysdba"權(quán)限沒(méi)有這個(gè)限制����,這可能是因?yàn)槿绻沔i定了管理員���,那所有人都將被鎖定。這樣的設(shè)置為我們黑客破解軟件(OraBrute)如開(kāi)辟了一條生路���,它們會(huì)晝夜不停地敲打你數(shù)據(jù)庫(kù)的前門(mén)����,直到它乖乖打開(kāi)為止�����。
#p#副標(biāo)題#e#
??? 防范此類攻擊的方法
??? 想要抵御此類攻擊����,可以使用之前提及的對(duì)付預(yù)設(shè)密碼攻擊的方法。不過(guò)好奇心過(guò)重的數(shù)據(jù)庫(kù)管理員也可能下載上面提到的工具侵入自己的系統(tǒng)���。這說(shuō)明了你真正的風(fēng)險(xiǎn)來(lái)自何方����。
??? 4. 從后門(mén)偷竊數(shù)據(jù)
??? 在安全領(lǐng)域,這個(gè)概念被稱為數(shù)據(jù)向外滲漏(exfiltration)�����,這個(gè)詞來(lái)自軍事術(shù)語(yǔ)�����,其反面是向敵人內(nèi)部滲透(infiltration)�,意思就是在不被發(fā)現(xiàn)的情況下偷偷潛出。對(duì)于從目標(biāo)數(shù)據(jù)庫(kù)獲取數(shù)據(jù)的過(guò)程����,可能就像從一些磁帶備份中挑揀數(shù)據(jù)和還原數(shù)據(jù)庫(kù)或者像從一個(gè)被毀壞的磁盤(pán)重復(fù)制一份拷貝一樣簡(jiǎn)單。不過(guò)���,也有可能涉及到窺探網(wǎng)絡(luò)傳輸以獲得相關(guān)的數(shù)據(jù)包。
??? Oracle有一個(gè)名為UTL_TCP的程序包�����,能夠使外部連接指向其他服務(wù)器�����。對(duì)它稍微改編一下,就可以利用它從數(shù)據(jù)庫(kù)發(fā)送一套低帶寬數(shù)據(jù)流到遠(yuǎn)程主機(jī)�����。Oracle也附帶了一些有用的程序包來(lái)隱藏?cái)?shù)據(jù)流里的信息�����,如果你在發(fā)動(dòng)潛入行動(dòng)的時(shí)候擔(dān)心入侵檢測(cè)系統(tǒng)會(huì)監(jiān)測(cè)到你的不法活動(dòng)����,那么可以充分利用這些功能秘密嵌入,包括DBMS_OBFUSCATION_TOOLKIT和DBMS_CRYPTO����。
??? 防范此類攻擊的方法
??? 防范此類攻擊的最佳辦法是安裝入侵檢測(cè)系統(tǒng),這些系統(tǒng)能夠檢測(cè)網(wǎng)絡(luò)中流入和流出的數(shù)據(jù)包�����。有一些檢測(cè)系統(tǒng)還提供深入數(shù)據(jù)包檢測(cè)���,可以確實(shí)檢查某些SQL����,并可以通過(guò)設(shè)定規(guī)則在某種情況下觸發(fā)報(bào)警器。這些工具還能夠查找泄密跡象�,例如添加的UNION、各種類型的short- circuiting命令����、利用"--"注釋進(jìn)行截?cái)嗟鹊取?/p>
??? 5. 監(jiān)聽(tīng)器
??? 計(jì)算機(jī)世界最讓人覺(jué)得了不起的事情就是,不管有多么困難的事���,總有辦法馴服它�����。尤其是在安全領(lǐng)域�����,一些漏洞如此的簡(jiǎn)單���,而這些漏洞的出現(xiàn)僅僅是因?yàn)橛脩?也包括我們現(xiàn)在扮演的角色——黑客)并沒(méi)有像軟件設(shè)計(jì)者(程序員或軟件開(kāi)發(fā)員)本來(lái)預(yù)想的那樣思考和行動(dòng)。
??? Oracle監(jiān)聽(tīng)器的設(shè)置是為了能夠?qū)崿F(xiàn)遠(yuǎn)程管理�����。那么如果攻擊者把監(jiān)聽(tīng)器的logfile設(shè)置為Unix .rhosts文件呢?這樣攻擊者就可以輕松的對(duì).rhosts文件進(jìn)行寫(xiě)操作�����。Unix上的這個(gè)文件設(shè)置了什么人可以不用密碼而使用rsh����、rlogin和rcp命令登錄。你可以想想將會(huì)發(fā)生什么事情����。
??? 這其實(shí)只是圍繞Oracle監(jiān)聽(tīng)器安全問(wèn)題的冰山一角而已。其他的還有緩沖區(qū)溢出等一大堆問(wèn)題需要注意���。事實(shí)上Litchfield的《Oracle黑客手冊(cè)》里花了一整章的內(nèi)容來(lái)討論這個(gè)主題���。
??? 防范此類攻擊的方法
??? 從預(yù)防的角
關(guān)鍵詞標(biāo)簽:黑客,Oracle系統(tǒng)
Oracle中使用alter table來(lái)增加,刪除,修改列的語(yǔ)法
oracle中使用SQL語(yǔ)句修改字段類型-oracle修改SQL語(yǔ)句案例