网络安全 频道

跳出假日阴影 企业需提防9大数据库漏洞

  伴随春节长假结束,西方情人节与中国元宵节渐渐走进我们身边,假日松散的安全管理还在蔓延,企业安全在这个阶段最容易被忽视,尤其对于被玫瑰花与节日气氛包围的企业IT管理者来说,在这个节日相接的阶段,企业更需提防9大数据库漏洞。

跳出假日阴影 企业需提防9大数据库漏洞

  中国有句古语:千里之堤,溃于蚁穴。对于一个企业来说,保护数据库并不是很难的事情,但往往是针对最简单漏洞攻击却能够成功攻击企业数据库,那些坚持基本保护措施的企业通常能够获得非常好的数据库安全保护。安全专家研究表示,他们的团队发现九大最常见数据库漏洞,这些漏洞不断地被利用来攻击企业数据库。

  这些漏洞存在的主要原因在于数据库本身并没有进行全面安全防护,并且服务器配置还需要数据库管理员根据企业要求重新进行配置。企业必须对数据库进行评估来确定某些功能是否真的必要,以及禁用那些不需要的功能来减少攻击面。此外,企业必须对默认设置或者较弱的登录凭证时刻保持警惕,必须部署完善的特权和身份验证措施,最重要的是,企业需要定期修复补丁。

  在所发现的漏洞中,有将近一半的漏洞或直接或间接地与数据库环境内不适当的补丁修复管理有关。这是很恐怖的概念:在前三个月补丁修复周期内,只有38%的管理员修复企业的Oracle数据库,并且只有三分之一的管理员花费一年或者更长时间进行修复。

  1. 默认、空白和强度弱的用户名或者密码

  在一个企业中,跟踪数百或者甚至数千个数据库可能是很艰巨的任务,但是删除默认、空白以及强度弱的登录凭证将是完善数据库安全非常重要的第一个步骤。攻击者们总是将注意力放在这些默认帐户上,必要的时候就能派上用场。

  2. SQL注入攻击

  SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多,但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

  如果企业数据库平台无法对输入内容进行审查,攻击者将能够执行SQL注入攻击,就像在web攻击中所做的那样,SQL注入攻击最终将允许攻击者提升权限,并且获取对更广泛功能的访问权限。很多供应商发布了修复程序来避免这些问题,但是如果DBMS仍然未打补丁,这些修复程序也帮不了企业管理者。

0
相关文章