对抗攻击举例说明
    Oracle Internal 密码－Oracle内部密码存放在文件名为“strXXX.cmd”的文本文件中，XXX是Oracle系统的ID或SID，默认值为“ORCL”。用在Oracle数据库的启动过程中，要用到Oracle Internet密码，具有随意访问数据库资源的权力。这个文件应妥善保管，以用于基于Windows NT的ORACLE程序。

    Oracle监听程序过程密码－用于起动并停止Oracle监听程序过程的密码，该过程可将所有的新业务路由到系统上合适的Oracle例子中，需选择一个保密性强的密码替换系统的默认值，使用许可必须在“listener.ora”文件中得到保护，该文件存贮了Oracle所有的使用密码。对密码的不当访问可能会使入侵者对基于Oracle的电子交易站点进行拒绝服务攻击。Oracle内部密码 －“orapw”文件许可控制－Oracle内部密码和由SYSDBA授权的帐号密码存贮在“Orapw”文本文件中。尽管文件已被加密，但在ORACLE的UNIX和Windows NT的程序中，还是要限制该文件的使用权限。如果该文件被访问，那么遭解密的文件很容易遭到强有力的攻击。这些例子说明了管理员、系统密码和帐号是何等的重要，它们都可能会遭到意想不到的攻击方法的攻击。注意密码管理问题决不仅限于Oracle数据库，几乎所有主要数据库提供商的产品都有这种问题。操作系统的后门－许多数据库系统的特征参数尽管方便了DBA，但也为数据库服务器主机操作系统留下了后门。
 
    如上所述，对Sybase或SQL服务器的“sa”密码造成危害的入侵者有可能利用“扩展入驻程序”，得到基本操作系统的使用权限。以“sa”的身份登录，入侵者使用扩展入驻程序xp–cmdshell，该程序允许Sybase或SQL服务器的用户运行系统指令，就象该用户在服务器控制台上运行指令一样。例如，可实用下列SQL指令添加一个Windows NT帐号，帐号名为“hacker1”，密码为“passoword”，并把“hacker1”添加到“Administrators”组：
    xp-cmdshell ‘net user hacker1 password/ADD’
    go
    xp-comdshell ’net localgroup/ADD Administrators hacker1’
    go
    现在这个非法入侵者就成了Windows NT的管理员了。这个简单的攻击之所以成功，是因为命令被提交给实用Windows NT帐号的操作系统，而MSSQLServer的服务就运行在这个帐号下。在默认情况下，这个帐号就是“LocalSystem”帐号---本地Windows NT系统中最有效力的帐号。另一个途径是黑客可能使用SQL服务器，利用入驻程序xp-regread从注册表中读出加密的Windows NT SAM密码，对操作系统的安全造成威胁。由于有几种免费的Windows NT密码攻击器软件，因此保管好加密的Windows NT密码的安全变得格外重要。以下例子说明了入侵者是怎样得到信息的：

    xp-regread’HKEY–LOCAL–MACHINE’,’SECURITYSAMDomainsAccount’,’F’注意，从注册表中读出加密密码是一件本地Windows NT管理员帐号都无法做到的事。SQL服务器之所以能够做到，是因为默认方式运行的SQL服务使用的恰恰就是“LocalSystem”帐号。