資料庫入侵的六大手段與防範措施（一）

資料庫安全事故的層出不窮，諸如銀行內部資料洩漏造成資金失密、信用卡資訊被盜用導致的系用卡偽造、 12306大量使用者身份資訊洩露，知名連鎖酒店海量開房資訊洩露 ……等等

普通的黑客從進入到退出一次資料攻擊只需用不到10秒鐘時間就可完成，這個時間對於資料庫管理員來說即使注意到入侵者都不夠。因此，在資料被損害很長時間之前，許多資料庫攻擊都沒有被注意到。

那麼常見的資料庫入侵手段都有哪些？我們又該如何進行防範呢？

1.對弱口令或預設使用者名稱/口令的破解：

　　以前的Oracle資料庫有一個預設的使用者名稱：Scott及預設的口令：tiger;而微軟的SQL Server的系統管理員賬戶的預設口令是也是眾所周知。

　　當然這些預設的登入對於黑客來說尤其方便，藉此他們可以輕鬆地進入資料庫。

　　Oracle和其它主要的資料庫廠商在其新版本的產品中表現得聰明起來，它們不再讓使用者保持預設的和空的使用者名稱及口令等。但這並不意味著,所有的組織都在較老的資料庫中敞開著大門。

　　Forrester的Yuhanna說，“問題是企業擁有15000個資料庫，而完全地保護其安全並不容易。有時企業只能保障關鍵資料庫的安全，其它的就不太安全了。現在，較新的資料庫強制使你在安裝時改變系統管理員賬戶的預設口令。但較老的資料庫版本可能存在著問題。”

　　但即使是唯一的、非預設的資料庫口令也是不安全的。Sentrigo的 Markovich 說，“你總可以在客戶那裡找到弱口令和易於猜測的口令。通過強力破解或只試著用不同的組合就可以輕易地找到這種口令。”

　　口令破解工具有很多，並且通過Google搜尋或sectools.org等站點就可以輕易地獲得,這樣就會連線到Cain 、 Abel或John theRipper等流行的工具。

　　保護自己免受口令攻擊的最佳方法：避免使用預設口令，建立強健的口令管理程式並對口令經常改變。