簡(jiǎn)述:現(xiàn)在黑客攻擊數(shù)據(jù)庫(kù)已經(jīng)成為了一種常發(fā)性的事情了,而且一個(gè)普通的黑客攻擊數(shù)據(jù)庫(kù)之后往往都能全身而退,令人奇怪的是,根據(jù)許多專家的介紹,作為企業(yè)之“王冠”的大本營(yíng),數(shù)據(jù)庫(kù)在許
現(xiàn)在黑客攻擊數(shù)據(jù)庫(kù)已經(jīng)成為了一種常發(fā)性的事情了,而且一個(gè)普通的黑客攻擊數(shù)據(jù)庫(kù)之后往往都能全身而退,令人奇怪的是,根據(jù)許多專家的介紹,作為企業(yè)之“王冠”的大本營(yíng),數(shù)據(jù)庫(kù)在許多企業(yè)中并沒有得到恰當(dāng)?shù)陌踩Wo(hù)。惡意的黑客正利用非常簡(jiǎn)單的攻擊方法進(jìn)入數(shù)據(jù)庫(kù),如利用弱口令和不嚴(yán)謹(jǐn)?shù)呐渲茫袄梦创蜓a(bǔ)丁的已知漏洞等。今天這篇文章騰佑小編就來為各位介紹一下黑客攻擊數(shù)據(jù)庫(kù)的幾種類型?
黑客攻擊數(shù)據(jù)庫(kù)的幾種類型總結(jié)如下?
1、聯(lián)網(wǎng)PoS
為了獲取個(gè)人的一些銀行卡或者信用卡的私人信息,有三分之一的網(wǎng)絡(luò)攻擊都是針對(duì)銷售類的終端(PoS)發(fā)動(dòng)的。畢竟銀行卡和信用卡是離錢最近的東西。 比如美國(guó)的家居建材零售商家得寶就受到過這類攻擊,同樣受到過這類攻擊的還有美國(guó)的第二大零售商塔吉特。
2、 惡意軟件
Wanna Decryptor是一種“蠕蟲式”的病毒勒索軟件,簡(jiǎn)稱是“Wanna Cry”,翻譯過來就是想哭。不過這個(gè)病毒軟件幾乎讓大公司、學(xué)校、個(gè)人真的想哭了。
他們的套路是:用你不想讓人知道的秘密來攻破你的心理防線,從而讓受害者主動(dòng)交付贖金。
3.對(duì)弱口令或默認(rèn)用戶名/口令的破解
以前的Oracle數(shù)據(jù)庫(kù)有一個(gè)默認(rèn)的用戶名:Scott及默認(rèn)的口令:tiger;而微軟的SQL Server的系統(tǒng)管理員賬戶的默認(rèn)口令是也是眾所周知。
當(dāng)然這些默認(rèn)的登錄對(duì)于黑客來說尤其方便,借此他們可以輕松地進(jìn)入數(shù)據(jù)庫(kù)。
Oracle和其它主要的數(shù)據(jù)庫(kù)廠商在其新版本的產(chǎn)品中表現(xiàn)得聰明起來,它們不再讓用戶保持默認(rèn)的和空的用戶名及口令等。但這并不意味著,所有的組織都在較老的數(shù)據(jù)庫(kù)中敞開著大門。
Forrester的Yuhanna說,“問題是企業(yè)擁有15000個(gè)數(shù)據(jù)庫(kù),而完全地保護(hù)其安全并不容易。有時(shí)企業(yè)只能保障關(guān)鍵數(shù)據(jù)庫(kù)的安全,其它的就不太安全了?,F(xiàn)在,較新的數(shù)據(jù)庫(kù)強(qiáng)制使你在安裝時(shí)改變系統(tǒng)管理員賬戶的默認(rèn)口令。但較老的數(shù)據(jù)庫(kù)版本可能存在著問題。”
但即使是唯一的、非默認(rèn)的數(shù)據(jù)庫(kù)口令也是不安全的。Sentrigo的 Markovich 說,“你總可以在客戶那里找到弱口令和易于猜測(cè)的口令。通過強(qiáng)力破解或只試著用不同的組合就可以輕易地找到這種口令。”
口令破解工具有很多,并且通過Google搜索或sectools.org等站點(diǎn)就可以輕易地獲得,這樣就會(huì)連接到Cain 、 Abel或John theRipper等流行的工具。
保護(hù)自己免受口令攻擊的最佳方法:避免使用默認(rèn)口令,建立強(qiáng)健的口令管理程序并對(duì)口令經(jīng)常改變。
4.特權(quán)提升
有幾種內(nèi)部人員攻擊的方法可以導(dǎo)致惡意的用戶占有超過其應(yīng)該具有的系統(tǒng)特權(quán)。而且外部的攻擊者有時(shí)通過破壞操作系統(tǒng)而獲得更高級(jí)別的特權(quán)。應(yīng)用安全公司的銷售副總裁Ted Julian說,“這是一種常見的威脅因素。”
特權(quán)提升通常更多地與錯(cuò)誤的配置有關(guān):一個(gè)用戶被錯(cuò)誤地授與了超過其實(shí)際需要用來完成工作的、對(duì)數(shù)據(jù)庫(kù)及其相關(guān)應(yīng)用程序的訪問和特權(quán)。
Forrester的Yuhanna說,“這是一個(gè)控制問題。有時(shí)一個(gè)企業(yè)并沒有提供哪些人員需要訪問何種資源的良好框架結(jié)構(gòu),而且通常情況下,數(shù)據(jù)庫(kù)管理員并沒有從業(yè)務(wù)上理解企業(yè)的數(shù)據(jù)。這是問題之一。”
而且,有時(shí)一個(gè)內(nèi)部的攻擊者(或者一個(gè)已經(jīng)控制了受害人機(jī)器的外部的家伙)可以輕松地從一個(gè)應(yīng)用程序跳轉(zhuǎn)到數(shù)據(jù)庫(kù),即使他并沒有這個(gè)數(shù)據(jù)庫(kù)的相關(guān)憑證也可以如此。Yuhanna 說,“一個(gè)非特權(quán)用戶可以試著連接到數(shù)據(jù)庫(kù),只要他可以訪問一個(gè)系統(tǒng),如CRM,他就可以用同樣的口令通過檢查,即使他沒有獲得此數(shù)據(jù)庫(kù)的授權(quán)。有些控制并沒有實(shí)現(xiàn)很好的集中化。”
Sentrigo的Markovich近來能夠通過一個(gè)擁有少量特權(quán)的用戶賬戶攻入一個(gè)客戶的數(shù)據(jù)庫(kù)。Markovich說,“他們要求我攻入其數(shù)據(jù)庫(kù)。我找到了一個(gè)少量特權(quán)的用戶口令,然后就進(jìn)入了系統(tǒng)。然后我檢查了他的特權(quán),他擁有對(duì)數(shù)據(jù)庫(kù)的只讀性訪問,因此一個(gè)少量特權(quán)的用戶可以訪問讀取數(shù)據(jù)庫(kù)內(nèi)的任何表,包括信用卡信息、個(gè)人信息。因此,我說:‘我不需要攻入數(shù)據(jù)庫(kù)。’”
專家們說,經(jīng)驗(yàn)法則應(yīng)當(dāng)說是僅給用戶所需要的數(shù)據(jù)庫(kù)訪問和權(quán)力,不要有更多的東西。
還有那些擁有合法訪問的特權(quán)用戶,他們頭腦中可能并沒有合法的操作。“你如何控制訪問呢?這個(gè)領(lǐng)域也正在開始演化。”
5.利用未用的和不需要的數(shù)據(jù)庫(kù)服務(wù)和功能中的漏洞
當(dāng)然,一個(gè)外部的攻擊者會(huì)尋找較弱的數(shù)據(jù)庫(kù)口令,看其潛在的受害人是否在運(yùn)行其Oracle數(shù)據(jù)庫(kù)上運(yùn)行監(jiān)聽程序(Listener)功能。監(jiān)聽程序可以搜索出到達(dá)Oracle數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)連接,并可以轉(zhuǎn)發(fā)此連接,這樣一來就會(huì)將用戶和數(shù)據(jù)庫(kù)的鏈接暴露出來。
只需采用一些Google hacking攻擊,一位攻擊者就可以搜索并找到數(shù)據(jù)庫(kù)服務(wù)上暴露的監(jiān)聽程序。Markovich 說,“許多客戶并沒有在監(jiān)聽程序上設(shè)置口令,因此,黑客就可以搜索字符串并找出Web上活動(dòng)的監(jiān)聽程序。我剛才搜索了一下,發(fā)現(xiàn)有一些可引起人們注意的東西,如政府站點(diǎn)。這確實(shí)是一個(gè)大問題。”
其它的特性,如操作系統(tǒng)和數(shù)據(jù)庫(kù)之間的鉤子可以將數(shù)據(jù)庫(kù)暴露給攻擊者。這種鉤子可以成為達(dá)到數(shù)據(jù)庫(kù)的一個(gè)通信鏈接。Yuhanna說,“在你鏈接庫(kù)和編寫程序時(shí)…那將成為與數(shù)據(jù)庫(kù)的界面,”你就是在將數(shù)據(jù)庫(kù)暴露出去,并可能在無認(rèn)證和無授權(quán)的情況下讓黑客進(jìn)入內(nèi)部。
通常,數(shù)據(jù)庫(kù)管理員并沒有關(guān)閉不需要的服務(wù)。Julian 說,“他們只是任其開著。這種設(shè)計(jì)過時(shí)且管理跟不上,這是讓其發(fā)揮實(shí)際作用的最簡(jiǎn)單方法。不需要的服務(wù)在基礎(chǔ)結(jié)構(gòu)中大搖大擺地存在,這會(huì)將你的漏洞暴露在外。”
關(guān)鍵是要保持?jǐn)?shù)據(jù)庫(kù)特性的精簡(jiǎn),僅安裝你必須使用的內(nèi)容。別的東西一概不要。Markovich說,“任何特性都可被用來對(duì)付你,因此只安裝你所需要的。如果你并沒有部署一種特性,你就不需要以后為它打補(bǔ)丁。”
6.針對(duì)未打補(bǔ)丁的數(shù)據(jù)庫(kù)漏洞
好消息是Oracle和其它的數(shù)據(jù)庫(kù)廠商確實(shí)在為其漏洞打補(bǔ)丁。壞消息是單位不能跟得上這些補(bǔ)丁,因此它們總是處于企圖利用某種機(jī)會(huì)的老謀深算的攻擊者控制之下。
數(shù)據(jù)庫(kù)廠商總是小心翼翼地避免披露其補(bǔ)丁程序所修正的漏洞細(xì)節(jié),但單位仍以極大的人力和時(shí)間來苦苦掙扎,它會(huì)花費(fèi)人力物力來測(cè)試和應(yīng)用一個(gè)數(shù)據(jù)庫(kù)補(bǔ)丁。例如,給程序打補(bǔ)丁要求對(duì)受補(bǔ)丁影響的所有應(yīng)用程序都進(jìn)行測(cè)試,這是項(xiàng)艱巨的任務(wù)。
Yuhanna 說,“最大問題是多數(shù)公司不能及時(shí)安裝其程序補(bǔ)丁,一家公司告訴我,他們只能關(guān)閉其數(shù)據(jù)庫(kù)一次,用六小時(shí)的時(shí)間打補(bǔ)丁,它們要冒著無法打補(bǔ)丁的風(fēng)險(xiǎn),因?yàn)樗鼈儾荒荜P(guān)閉其操作。”
Markovich說,在今天正在運(yùn)行的多數(shù)Oracle數(shù)據(jù)庫(kù)中,有至少10到20個(gè)已知的漏洞,黑客們可以用這些漏洞攻擊進(jìn)入。他說,“這些數(shù)據(jù)庫(kù)并沒有打補(bǔ)丁,如果一個(gè)黑客能夠比較版本,并精確地找出漏洞在什么地方,那么,他就可以跟蹤這個(gè)數(shù)據(jù)庫(kù)。”
而且一些黑客站點(diǎn)將一些已知的數(shù)據(jù)庫(kù)漏洞的利用腳本發(fā)布了出來,他說。即使跟得上補(bǔ)丁周期有極大困難,單位也應(yīng)當(dāng)打補(bǔ)丁。他說,例如,Oracle4月15日的補(bǔ)丁包含了數(shù)據(jù)庫(kù)內(nèi)部的17個(gè)問題。這些和其它的補(bǔ)丁都不應(yīng)當(dāng)?shù)粢暂p心。每一個(gè)問題都能夠破壞你的數(shù)據(jù)庫(kù)。
7.SQL注入
SQL注入式攻擊并不是什么新事物了,不過近來在網(wǎng)站上仍十分猖狂。近來這種攻擊又侵入了成千上萬的有著鮮明立場(chǎng)的網(wǎng)站。
雖然受影響的網(wǎng)頁和訪問它的用戶在這些攻擊中典型情況下都受到了重視,但這確實(shí)是黑客們進(jìn)入數(shù)據(jù)庫(kù)的一個(gè)聰明方法。數(shù)據(jù)庫(kù)安全專家們說,執(zhí)行一個(gè)面向前端數(shù)據(jù)庫(kù)Web應(yīng)用程序的SQL注入攻擊要比對(duì)數(shù)據(jù)庫(kù)自身的攻擊容易得多。直接針對(duì)數(shù)據(jù)庫(kù)的SQL注入攻擊很少見。
在字段可用于用戶輸入,通過SQL語句可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的直接查詢時(shí),就會(huì)發(fā)生SQL攻擊。也就是說攻擊者需要提交一段數(shù)據(jù)庫(kù)查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù)。
除客戶端之外,Web應(yīng)用程序是最脆弱的環(huán)節(jié)。有些情況下,如果攻擊者得到一個(gè)要求輸入用戶名和口令的應(yīng)用程序的屏幕,而且應(yīng)用程序并不檢查登錄的內(nèi)容的話,他所需要做的就是提供一個(gè)SQL語句或者數(shù)據(jù)庫(kù)命令,并直接轉(zhuǎn)向數(shù)據(jù)庫(kù)。Yuhanna說,問題是身份驗(yàn)證和授權(quán)已經(jīng)被移交給了應(yīng)用程序服務(wù)器。
他說,“此時(shí)輸入的并不是一個(gè)用戶名,而是一個(gè)SQL命令。它被輸入到一個(gè)數(shù)據(jù)包中,并且由應(yīng)用程序服務(wù)器發(fā)送給數(shù)據(jù)庫(kù)。這個(gè)數(shù)據(jù)庫(kù)會(huì)讀取欺詐性的SQL命令,而且它能夠完全關(guān)閉整個(gè)數(shù)據(jù)庫(kù)。”
他說,“這是開發(fā)者的一種可悲的開發(fā)方法。你必須關(guān)注用戶正在輸入的內(nèi)容。不管你想執(zhí)行什么,數(shù)據(jù)庫(kù)都會(huì)執(zhí)行。這是很令人驚慌的問題。SQL注入式攻擊是一個(gè)很大的問題。”
Sentrigo 的Markovich說,從Web應(yīng)用程序到數(shù)據(jù)庫(kù)兩個(gè)方面都可以實(shí)施SQL注入式攻擊,而且可以從數(shù)據(jù)庫(kù)內(nèi)部實(shí)施。但有一些程序設(shè)計(jì)方法可有助于防止應(yīng)用程序中的SQL注入攻擊漏洞,如使用所謂的綁定變量(bind variable)或者使用參數(shù)進(jìn)行查詢等。
Markovich說,在Java等語言中,這就意味著在SQL語句中將問號(hào)用作占位符,并將“接收”值與這些占位符綁定。另外一種方法是避免顯示某些數(shù)據(jù)庫(kù)錯(cuò)誤消息,目的是避免將可能敏感的信息透露給潛在的攻擊者。
8.竊取(未加密的)備份磁帶
如果備份磁帶在運(yùn)輸或倉(cāng)儲(chǔ)過程中丟失,而這些磁帶上的數(shù)據(jù)庫(kù)數(shù)據(jù)又沒有加密的話,一旦它落于罪惡之手,這時(shí)黑客根本不需要接觸網(wǎng)絡(luò)就可以實(shí)施破壞。
但這類攻擊更可能發(fā)生在將介質(zhì)銷售給攻擊者的一個(gè)內(nèi)部人員身上。只要被竊取的或沒有加密的磁帶不是某種Informix或HP-UX 上的DB2等較老的版本,黑客們需要做的只是安裝好磁帶,然后他們就會(huì)獲得數(shù)據(jù)庫(kù)。
Julian說,“當(dāng)然,如果不是一種受內(nèi)部人員驅(qū)動(dòng)的攻擊,它就是非主要的。”他說,同樣的原因,閃盤也是另外一種風(fēng)險(xiǎn)。
除了沒有對(duì)備份介質(zhì)上的數(shù)據(jù)進(jìn)行加密等明顯的預(yù)防措施,一些單位并沒有一直將標(biāo)簽貼在其備份介質(zhì)上。“人們備份了許多數(shù)據(jù),但卻疏于跟蹤和記錄。”Yuhanna說,“磁帶容易遭受攻擊,因?yàn)闆]有人會(huì)重視它,而且企業(yè)在多數(shù)時(shí)間并不對(duì)其加密。”
9、網(wǎng)絡(luò)賬戶盜取
一些個(gè)人的、公司的Email、系統(tǒng)賬號(hào)有可能被盜取,黑客就會(huì)找到一些個(gè)人或者財(cái)務(wù)方面的信息,直接轉(zhuǎn)賬或者盜刷信用卡給受害者造成的損失非常巨大。
10、DNS域名服務(wù)器劫持
與惡意跨框架或者Java腳本類似,都是做一些看似真實(shí)合法的頁面。
黑客把別人的域名查詢導(dǎo)向自家的域名服務(wù)器,做一些虛假的支付頁面獲得流量、私人信息,引導(dǎo)受害者下載軟件。
以上黑客攻擊數(shù)據(jù)庫(kù)的10種類型,能更好的讓數(shù)據(jù)庫(kù)管理員能極早的發(fā)現(xiàn)黑客攻擊數(shù)據(jù)庫(kù)的一些端倪,也希望數(shù)據(jù)庫(kù)管理員能更好的保護(hù)好數(shù)據(jù)庫(kù)。
騰佑科技(mubashirfilms.com)成立于2009年,總部位于河南鄭州,是一家集互聯(lián)網(wǎng)基礎(chǔ)設(shè)施及軟硬件于一體化的高新技術(shù)企業(yè),具有IDC/ISP/ICP/云牌照、雙軟等資質(zhì),并擁有多個(gè)國(guó)家版權(quán)局認(rèn)證。公司自成立以來,一直致力于發(fā)展互聯(lián)網(wǎng)IDC數(shù)據(jù)中心DataCenter、云計(jì)算Cloud、大數(shù)據(jù)BigDate、人工智能AI、內(nèi)容加速CDN、互聯(lián)網(wǎng)安全、軟件定制開發(fā)等產(chǎn)品服務(wù)及行業(yè)客戶技術(shù)一體化智能解決方案;2018年成為百度智能云AI河南服務(wù)中心。
售前咨詢熱線:400-996-8756
備案提交:0371-89913068
售后客服:0371-89913000
搜索詞
熱門產(chǎn)品推薦