七個不良習慣導致攻擊者輕鬆入侵資料庫--轉載

skuary發表於2012-01-04
本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,幫助提高保護資料庫安全的意識。
 
不好的資料庫安全習慣給攻擊者和惡意內部人員大開了方便之門,資料洩漏事故的發生往往是因為企業一遍又一遍重複同樣的錯誤,而這些不良行為通常是從資料庫開始的。本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,希望大家引以為戒!

1. 資料庫未及時修復漏洞
資料庫管理員擔心修復最新漏洞會影響功能,但是卻不擔心修復週期無限期拖延會讓最業餘的攻擊者都能夠竊取大量資料。
“一些大漏洞會在每個補丁中進行修復,而利用程式碼也總是可以在網上找到,攻擊者可以剪下貼上來用於攻擊,”Application Security公司的首席技術官Josh Shaul表示。

2. 沒有尋找流氓資料庫
對於你不知道的資料庫,你無法確保其安全,Fortinet公司產品營銷副總裁Patrick Bedwell表示,他經常發現客戶不會保持他們資料庫的庫存,或者掃描流氓資料庫,這是一個問題,因為確實存在流氓資料庫。
“常見的做法試安裝小型footprint資料庫,並在資料庫中裝滿供開發和測試使用的生產資料,”Bedwell表示。

攻擊者很喜歡企業不追蹤流氓資料庫,因為這些資料庫通常都是沒打補丁的,大門敞開的,因為安全團隊並沒有注意它們。

3. 給予過多特權
當時間很緊急,資源有限時,企業很容易忽略使用者的許可權,可能只是將特權給予整個使用者群,然後去忙別的事情了,Imperva公司高階安全策略師Noa Bar Yosef表示。但是隻要一個使用者濫用這些特權就可能造成巨大的問題。

“考慮Diablo Valley社群學院的情況,三年以來,他們都讓資料庫管理員修改學生的成績,”她表示,“當資料洩漏曝光後,他們發現在授予資料庫管理員許可權的100名使用者中,只有11名使用者真正需要這個許可權。”

給予過多許可權的問題在於,使用者不僅可以做他們不應該做的事情,而且他們不會受到制裁,因為那些行為並沒有被預料,Application Security公司的研究部門經理Alex Rothacker表示。

“給予過多許可權的側面影響在於,使用者可以在他們沒有授權的資料庫或者作業系統進行操作,”他表示,“例如,在應付帳款部門具有特權的使用者可以創造一個虛假的公司,向這個公司支付費用,然後刪除所有關於該公司的記錄以掩蓋他們的蹤跡。”

4. 允許使用預設使用者名稱/密碼
使用預設使用者名稱和密碼就像為資料庫盜賊敞開大門一樣。但是很多公司仍然這樣做,因為很多應用程式輸入資料庫資訊都是與預設帳戶同步的,更改密碼可能會破壞某些東西。

5. 沒有自我檢查
仔細檢查你的使用者在做什麼,資料庫是如何被使用的,資料庫容易受到哪種型別的攻擊等。

然而大部分安全專家同意,大多數企業沒有監測使用者或者審計資料庫行為,因為他們並不擔心會受到行為。

“這是一個不能停歇的戰鬥,安全專業人士需要依賴於審計和資料庫管理員,同時又需要更好的效能。在為客戶提供服務方面,效能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最後,或者說發生資料洩漏的時候,他們才會知道發現、恢復和問責制的重要性。”

根據安全諮詢公司Brainlink公司技術長Rajesh Goel表示,很多公司還會否定安全評估或者滲透測試人員將資料庫放在攻擊考慮範圍內,即便這是惡意攻擊者最先瞄準的目標。

6. 允許任意網際網路連線和輸入
當資料庫連線到網際網路時,任意客戶端都可以不受限制地訪問資料庫,這樣的話,不好的事情也將發生。

“這意味著SQL注入攻擊將造成毀滅性影響,將洩漏任意資料,”Arbor Networks公司安全研究高階經理Jose Nazario表示,“將權利和角色分開還有很長一段路要走,可以使用只讀角色來用於web服務。”

同樣的,使用者輸入需要被監測以防止注入和拒絕服務攻擊,並且不受新人的使用者應該永遠不能過直接查詢表格或者資料庫物件名稱,例如表格、函式或者檢視。
7. 沒有加密
根據403 Web Security公司執行長Alan Wlasuk表示,最簡單最愚蠢的資料庫安全錯誤就是沒有加密他們的資料庫。

“這樣就能讓攻擊者最終進入你的資料庫,攻擊者很難進入加密的資料庫,加密是必須的、快速和易於使用的。”

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/25618347/viewspace-714704/,如需轉載,請註明出處,否則將追究法律責任。

相關文章