從數(shù)據(jù)庫安全漏洞的成因分析�,數(shù)據(jù)庫漏洞主要可以劃分為兩大類,一是:應(yīng)用程序邏輯漏洞��;二是:數(shù)據(jù)庫軟件漏洞���。但是不管是哪種漏洞�,攻擊者最終的目標(biāo)都是通過漏洞獲取數(shù)據(jù)庫中的敏感數(shù)據(jù)�。
應(yīng)用程序邏輯漏洞是指出在應(yīng)用開發(fā)過程中,由于應(yīng)用程序開發(fā)人員的疏忽和遺漏造成的應(yīng)用程序端的漏洞��,這種漏洞一般是在應(yīng)用端的代碼漏洞�,它的典型代表也是廣泛被攻擊者利用的就是SQL注入漏洞。
數(shù)據(jù)庫軟件漏洞的成因非常復(fù)雜����,這主要是因為數(shù)據(jù)庫軟件自身非常復(fù)雜��,包含了大量的邏輯關(guān)系����。數(shù)據(jù)庫設(shè)計開發(fā)人員在設(shè)計和開發(fā)這些邏輯的過程中因為疏忽或遺漏造成數(shù)據(jù)庫漏洞的形成�����,從而導(dǎo)致數(shù)據(jù)庫存在大量的安全漏洞���。這些漏洞主要包括:數(shù)據(jù)庫端的SQL注入���、提權(quán)、緩沖區(qū)溢出攻擊等……正是這些漏洞的存在��,使得攻擊者能夠成功攻陷數(shù)據(jù)庫��,從中獲取敏感數(shù)據(jù)����。
數(shù)據(jù)庫軟件主要包含三個主要組件:網(wǎng)絡(luò)監(jiān)聽組件和關(guān)系型數(shù)據(jù)庫管理系統(tǒng)以及SQL編程組件(例如pl/sql)。
l 網(wǎng)絡(luò)監(jiān)聽組件一般是數(shù)據(jù)庫通訊的中心���。監(jiān)聽往往不光負(fù)責(zé)接受網(wǎng)絡(luò)請求��,還要進(jìn)行數(shù)據(jù)庫身份驗證的檢驗����。
l 關(guān)系型數(shù)據(jù)庫管理系統(tǒng)主要用來保證整個數(shù)據(jù)庫高效�、有序的運行。
l SQL編程組件主要帶給數(shù)據(jù)庫一定的SQL擴展能力�。例如ORACLE的PL/SQL。Pl/sql是基于ADA語言開發(fā)的�,最早出現(xiàn)在Oracle 6逐漸發(fā)展到現(xiàn)在可以實現(xiàn)存儲過程、創(chuàng)建自定義函數(shù)��、實現(xiàn)觸發(fā)器和以外部庫的方式調(diào)用C函數(shù)和JAVA����。
這三個組件是數(shù)據(jù)庫的核心,同時也是數(shù)據(jù)庫安全中最易受到威脅的部分����。根據(jù)數(shù)據(jù)庫被入侵的方式來分可以分成針對數(shù)據(jù)庫的四種漏洞威脅。接下來的文章�����,我們將對這四種數(shù)據(jù)庫安全漏洞威脅逐一展開說明。
產(chǎn)品咨詢:4000 258 365 
