七個不良習慣導致攻擊者輕鬆入侵資料庫--轉載
本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,幫助提高保護資料庫安全的意識。
不好的資料庫安全習慣給攻擊者和惡意內部人員大開了方便之門,資料洩漏事故的發生往往是因為企業一遍又一遍重複同樣的錯誤,而這些不良行為通常是從資料庫開始的。本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,希望大家引以為戒!
不好的資料庫安全習慣給攻擊者和惡意內部人員大開了方便之門,資料洩漏事故的發生往往是因為企業一遍又一遍重複同樣的錯誤,而這些不良行為通常是從資料庫開始的。本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,希望大家引以為戒!
“一些大漏洞會在每個補丁中進行修復,而利用程式碼也總是可以在網上找到,攻擊者可以剪下貼上來用於攻擊,”Application Security公司的首席技術官Josh Shaul表示。
2. 沒有尋找流氓資料庫
對於你不知道的資料庫,你無法確保其安全,Fortinet公司產品營銷副總裁Patrick Bedwell表示,他經常發現客戶不會保持他們資料庫的庫存,或者掃描流氓資料庫,這是一個問題,因為確實存在流氓資料庫。
“常見的做法試安裝小型footprint資料庫,並在資料庫中裝滿供開發和測試使用的生產資料,”Bedwell表示。
攻擊者很喜歡企業不追蹤流氓資料庫,因為這些資料庫通常都是沒打補丁的,大門敞開的,因為安全團隊並沒有注意它們。
3. 給予過多特權
當時間很緊急,資源有限時,企業很容易忽略使用者的許可權,可能只是將特權給予整個使用者群,然後去忙別的事情了,Imperva公司高階安全策略師Noa Bar Yosef表示。但是隻要一個使用者濫用這些特權就可能造成巨大的問題。
“考慮Diablo Valley社群學院的情況,三年以來,他們都讓資料庫管理員修改學生的成績,”她表示,“當資料洩漏曝光後,他們發現在授予資料庫管理員許可權的100名使用者中,只有11名使用者真正需要這個許可權。”
給予過多許可權的問題在於,使用者不僅可以做他們不應該做的事情,而且他們不會受到制裁,因為那些行為並沒有被預料,Application Security公司的研究部門經理Alex Rothacker表示。
“給予過多許可權的側面影響在於,使用者可以在他們沒有授權的資料庫或者作業系統進行操作,”他表示,“例如,在應付帳款部門具有特權的使用者可以創造一個虛假的公司,向這個公司支付費用,然後刪除所有關於該公司的記錄以掩蓋他們的蹤跡。”
4. 允許使用預設使用者名稱/密碼
使用預設使用者名稱和密碼就像為資料庫盜賊敞開大門一樣。但是很多公司仍然這樣做,因為很多應用程式輸入資料庫資訊都是與預設帳戶同步的,更改密碼可能會破壞某些東西。
5. 沒有自我檢查
仔細檢查你的使用者在做什麼,資料庫是如何被使用的,資料庫容易受到哪種型別的攻擊等。
然而大部分安全專家同意,大多數企業沒有監測使用者或者審計資料庫行為,因為他們並不擔心會受到行為。
“這是一個不能停歇的戰鬥,安全專業人士需要依賴於審計和資料庫管理員,同時又需要更好的效能。在為客戶提供服務方面,效能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最後,或者說發生資料洩漏的時候,他們才會知道發現、恢復和問責制的重要性。”
根據安全諮詢公司Brainlink公司技術長Rajesh Goel表示,很多公司還會否定安全評估或者滲透測試人員將資料庫放在攻擊考慮範圍內,即便這是惡意攻擊者最先瞄準的目標。
6. 允許任意網際網路連線和輸入
當資料庫連線到網際網路時,任意客戶端都可以不受限制地訪問資料庫,這樣的話,不好的事情也將發生。
“這意味著SQL注入攻擊將造成毀滅性影響,將洩漏任意資料,”Arbor Networks公司安全研究高階經理Jose Nazario表示,“將權利和角色分開還有很長一段路要走,可以使用只讀角色來用於web服務。”
同樣的,使用者輸入需要被監測以防止注入和拒絕服務攻擊,並且不受新人的使用者應該永遠不能過直接查詢表格或者資料庫物件名稱,例如表格、函式或者檢視。
7. 沒有加密
根據403 Web Security公司執行長Alan Wlasuk表示,最簡單最愚蠢的資料庫安全錯誤就是沒有加密他們的資料庫。
根據403 Web Security公司執行長Alan Wlasuk表示,最簡單最愚蠢的資料庫安全錯誤就是沒有加密他們的資料庫。
“這樣就能讓攻擊者最終進入你的資料庫,攻擊者很難進入加密的資料庫,加密是必須的、快速和易於使用的。”
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/25618347/viewspace-714704/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 七個不良習慣導致攻擊者輕鬆入侵資料庫資料庫
- 資料科學從業者常見的不良小習慣資料科學
- 輕鬆搞定Windows惡意程式碼攻擊(轉)Windows
- 常用軟體WinRAR中現新安全漏洞 可致攻擊者入侵網路修改資料
- 淺談資料庫的攻擊(轉)資料庫
- 如何降低網路攻擊者入侵風險
- 輕鬆七步順利開發資料倉儲(轉)
- Citrix NetScaler多重漏洞導致DoS攻擊和資料洩露
- SQL資料庫的一些攻擊(轉)SQL資料庫
- Intel TSX最新漏洞,可輕鬆攻擊作業系統,獲取敏感資料Intel作業系統
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- 入侵攻擊實戰中被利用的埠(轉)
- 10個教程教你輕鬆備份MySQL資料庫MySql資料庫
- 加密你的資料並使其免受攻擊者的攻擊加密
- 6個技巧輕鬆玩轉資料視覺化視覺化
- 46%的本地資料庫容易受到攻擊,預計未來入侵仍會增加資料庫
- 新霸哥帶你輕鬆玩轉Oracle資料庫Oracle資料庫
- 大神Karpathy:我給大模型「SQL隱碼攻擊」攻擊,簡直不要太輕鬆大模型SQL
- JS 的5個不良編碼習慣,現在就改掉吧JS
- 使用「TablePlus」輕鬆安全地管理多個資料庫資料庫
- 防止網站被入侵攻擊的五個辦法網站
- 歸檔日誌滿導致的資料庫掛起故障處理【轉載】資料庫
- 如何輕鬆學習Python資料分析?Python
- 程式碼審查和不良程式設計習慣程式設計
- 高效程式設計師的七個習慣程式設計師
- 淺談mysql資料庫技術,輕鬆玩轉儲存過程MySql資料庫儲存過程
- 程式設計師偷偷深愛的 9 個不良程式設計習慣程式設計師
- CLI使用案例3:輕鬆跨庫查詢資料並下載到本地
- 窺探攻擊者入侵企業網路的蛛絲馬跡
- 資料過載採用exalead輕鬆解決
- Sybase資料庫日誌過大導致不能啟動(轉)資料庫
- 藉助ETLCloud工具,輕鬆同步Doris資料至Inceptor資料庫Cloud資料庫
- 高效能人的七個習慣(Seven Habits)
- 輕鬆接觸Oracle資料庫中的Kill sessionOracle資料庫Session
- 網路攻擊導致企業遭受損200萬美元
- 用《Excel》玩轉格式,輕鬆分析龐大資料!Excel大資料
- 輕鬆篡改WebSocket資料包Web
- 怎麼防止網站不被攻擊和入侵網站