设为首页
加入收藏
联系我们
   
   
文章搜索
精品推荐
分类导航
操作系统 佳软推介
冲浪宝典 办公专区
网页制作 网络安全
应用安全 黑客攻防
QQ空间
热门文章
· 怎样降低网吧运行成本
· 可免费升级一年的卡巴
· 只读更新全程图解教程
· 迅闪v4.5破解版[附教程
· 非主流18禁淫荡图片_非
· 网吧母盘的制作
· [西安]孙清云专门批示
· 详的XP母盘制作
· 网吧推出女性专区(图)
· 非主流梦幻少女的鞋鞋
· 玩酷FZL_彩绘酷型帽子
· 经典-唯美花儿银饰
· 新年绝美款日系Party鞋
· 韩式Feizl_可爱发饰
· 可爱公主_FZL糖果胸针
· 珍珠个性Fzl美饰
· 个性非主流挂坠
· 少女可爱零钱包挂件
相关文章
 黑客狙击美连锁百货盗取信 
 Vista SP1正版验证机制惨遭 
 Windows系统用户摆脱黑客攻 
 检测不同操作系统下黑客发 
 黑客能远程控制 Vista SP1 
 怎样检测不同操作系统下黑 
 [无锡] “黑客软件”偷享“ 
 港14岁黑客入侵中小 
 小心:中国黑客利用 
 警惕打印机惹祸,黑 
 黑客攻击逐渐瞄准Mac OS X 
 美国《时代》报道中国军方 
 曾让桂林全市网吧瘫痪的三 
 知己知彼 看黑客如何入侵L 
 波音787梦想飞机存在 
 利用“黑客”软件上霸王网 
 黑客:苹果将发布iP 
 黑客利用贝·布托死 
 黑客下一轮攻击目标:VoIP 
 黑客控制僵尸网络木马 疯狂 
 Google网页广告惊现 
 黑客利用菲律宾央行 
 警惕:某知名IT网站 
 人大考研论坛12月4日 
 美国一核武器实验室 
 18岁黑客首脑今日落 
 泰晤士报:英国军情 
 少年领导“黑客”团 
 少年领导黑客团伙 侵入全球 
 宽带用户如何杜绝黑 
 黑客发现:苹果能监视iPhon 
 研究发现Google可用来破译 
 五大入侵检测系统对 
 看黑客如何发动对电子邮件 
 黑客欲对Vista安全性下战书 
 英国军方电脑遭到来 
 2008年Vista将成为黑客攻击 
 黑客欲对Windows Vista安全 
 Vista渐显价值 2008年将成 
 黑客利用《色• 




您当前的位置:西安网吧在线 -> 电脑技巧 -> 黑客攻防 -> 文章内容

黑客狙击Oracle系统的八大套路
作者:佚名  来源:IT专家网  发布时间:2008-1-2 1:26:20  发布人:Cn029.Com

减小字体 增大字体

作者: cyw,  出处:IT专家网, 责任编辑: 李书琴, 
2007-12-19 00:02
  Oracle的销售在向客户兜售其数据库系统一直把它吹捧为牢不可破的,耍嘴皮子容易,兑现起来可就不那么容易了。不管什么计算机系统,人们总能够找到攻击它的方法,Oracle也不例外。本文将和大家从黑客的角度讨论黑客是用哪些方法把黑手伸向了你原以为他们不能触及的数据,希望作为Oracle的数据库管理员能够清楚的阐明自己基础架构的哪些区域比较容易受到攻击。同时我们也会讨论保护系统防范攻击的方法。

  【IT专家网独家】简介

  Oracle的销售在向客户兜售其数据库系统一直把它吹捧为牢不可破的,耍嘴皮子容易,兑现起来可就不那么容易了。不管什么计算机系统,人们总能够找到攻击它的方法,Oracle也不例外。本文将和大家从黑客的角度讨论黑客是用哪些方法把黑手伸向了你原以为他们不能触及的数据,希望作为Oracle的数据库管理员能够清楚的阐明自己基础架构的哪些区域比较容易受到攻击。同时我们也会讨论保护系统防范攻击的方法。

  1.SQL注入攻击

  如今大部分的Oracle数据库都具有为某种类型网络应用服务的后端数据存储区,网页应用使数据库更容易成为我们的攻击目标体现在三个方面。其一,这些应用界面非常复杂,具有多个组成成分,使数据库管理员难以对它们进行彻底检查。其二,阻止程序员侵入的屏障很低,即便不是C语言的编程专家,也能够对一些页面进行攻击。下面我们会简单地解释为什么这对我们这么重要。第三个原因是优先级的问题。网页应用一直处于发展的模式,所以他们在不断变化,推陈出新。这样安全问题就不是一个必须优先考虑的问题。

  SQL注入攻击是一种很简单的攻击,在页面表单里输入信息,悄悄地加入一些特殊代码,诱使应用程序在数据库里执行这些代码,并返回一些程序员没有料到的结果。例如,有一份用户登录表格,要求输入用户名和密码才能登录,在用户名这一栏,输入以下代码:

  cyw'); select username, password from all_users;--

  如果数据库程序员没有聪明到能够检查出类似的信息并“清洗”掉我们的输入,该代码将在远程数据库系统执行,然后这些关于所有用户名和密码的敏感数据就会返回到我们的浏览器。

  你可能会认为这是在危言耸听,不过还有更绝的。David Litchfield在他的著作《Oracle黑客手册》(Oracle Hacker's Handbook)中把某种特殊的pl/sql注入攻击美其名曰:圣杯(holy grail),因为它曾通杀Oracle 8到Oracle10g的所有Oracle数据库版本。很想知道其作用原理吧。你可以利用一个被称为DBMS_EXPORT_EXTENSION的程序包,使用注入攻击获取执行一个异常处理程序的代码,该程序会赋予用户或所有相关用户数据库管理员的特权。

  这就是Oracle发布的著名安全升级补丁Security Alert 68所针对的漏洞。不过据Litchfield称,这些漏洞是永远无法完全修补完毕的。

  防范此类攻击的方法

  总而言之,虽说没有万能的防弹衣,但鉴于这个问题涉及到所有面向网络的应用软件,还是要尽力防范。目前市面上有各式各样可加以利用的SQL注入检测技术。可以参照http://www.securityfocus.com/infocus/1704 系列文章的详细介绍。

  还可以用不同的入侵检测工具在不同的水平上检测SQL注入攻击。访问专门从事Oracle安全性研究的Pete Finnigan的安全网站http://www.petefinnigan.com/orasec.htm,在该网页搜索“sql injection”,可以获得更多相关信息。Pete Finnigan曾在其博客上报告称Steven Feurstein目前正在编写一个称为SQL Guard 的pl/sql程序包,专门用来防止SQL注入攻击,详情请查看以下网页http://www.petefinnigan.com/weblog/archives/00001115.htm

  对于软件开发人员来说,很多软件包都能够帮助你“清洗”输入信息。如果你调用对从页面表单接受的每个值都调用清洗例行程序进行处理,这样可以更加严密的保护你的系统。不过,最好使用SQL注入工具对软件进行测试和验证,以确保万无一失。

  1. 默认密码

  Oracle数据库是一个庞大的系统,提供了能够创建一切的模式。绝大部分的系统自带用户登录都配备了预设的默认密码。想知道数据库管理员工作是不是够勤奋?这里有一个方法可以找到答案。看看下面这些最常用的预设用户名和密码是不是能够登录到数据库吧:

  Username   Password

  applsys     apps

  ctxsys   change_on_install

  dbsnmp    dbsnmp

  outln      outln

  owa      owa

  perfstat    perfstat

  scott      tiger

  system  change_on_install

  system    manager

  sys    change_on_install

  sys      manager

[1] [2] [3]  下一页



声 明: 西安网吧在线(Cn029.Com) 所发表的文章与图片仅代表作者本人观点,与本站立场无关,
也不构成任何建议。对本文有任何异议,请联络: webmaster@cn029.com
若文章内容侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!
[] [返回上一页] [打 印] [收 藏]
    ∷相关文章评论∷ (评论内容只代表网友观点,与本站立场无关!)查看完整评论内容
    文章评论     请注意用语文明且合法,不要发布带有攻击性的言论,谢谢合作!!
用户名
分  值
 100分 80分 50分 10分 0分
评  论
  (注“”为必填内容。)