2016年3月8日,某電商平臺的ERP 系統(tǒng)遭到黑客攻擊�,事件中使用的SQL注入攻擊是數(shù)據(jù)庫安全攻擊中幾乎最常見的SQL注入?���;诎踩A金和數(shù)據(jù)庫安全攻防實驗室的技術(shù)分析和模擬攻擊過程還原��,SQL注入點可能來自O(shè)racle數(shù)據(jù)庫自身的三個安全機制缺陷�����。
缺陷1: oracle數(shù)據(jù)庫自身的存儲過程和函數(shù)調(diào)用的權(quán)限機制存在安全隱患
用戶調(diào)用pl/sql子程序的時候,程序在訪問所涉及到的底層對象(包括表格等)時��,用戶不必擁有訪問這些對象的權(quán)限����,只需要用戶有該存儲過程的執(zhí)行權(quán)限即可;而執(zhí)行時是參照的是該子程序定義者的權(quán)限����。
簡單說就是如果用創(chuàng)建者只有創(chuàng)建權(quán)限,沒有執(zhí)行權(quán)限那么即便用sys賬號也依舊無法執(zhí)行���。因為執(zhí)行定義者權(quán)限模式的子程序的時候�����。在子程序中當(dāng)前賬號權(quán)限和創(chuàng)建該子程序用戶權(quán)限一致���。雖然這給oracle帶來了很大的靈活性���,但是會有很大的安全隱患。就像上文的例子一樣�����。黑客可以利用子程序獲得和子程序創(chuàng)建者一樣高的權(quán)限�,再以高權(quán)限執(zhí)行惡意代碼。黑客可以通過這種手段獲得DBA賬號���、甚至控制整個oracle���。
缺陷2:oracle中有些系統(tǒng)函數(shù)的參數(shù)對輸入類型和長度缺乏控制,導(dǎo)致形成注入點���。對于這種oracle缺乏控制的的函數(shù)的參數(shù)需要進一步約束��。約束的方法可以等待oracle進行補丁修復(fù)后進行補丁升級���,也可以通過數(shù)據(jù)庫防火墻對特定函數(shù)使用的范圍做一定的限制。
缺陷3:Oracle自身存在系統(tǒng)存儲過程或函數(shù)自身存在提權(quán)漏洞
這些系統(tǒng)性的存儲過程或函數(shù)需要調(diào)用者的權(quán)限很低��,但通過注入的方式����,完成將調(diào)用者的權(quán)限提升到dba����,如:
SYS.LT.COMPRESSWORKSPACETREE��、SYS.DBMS_CDC_IMPDP.BUMP_SEQUENCE��、SYS.KUPW$WORKER.MAIN�����、CTXSYS.DRILOAD.BUILD_DML等����。
通過以上對Oracle數(shù)據(jù)庫安全機制缺陷的分析����,希望能夠?qū)racle用戶提供安全防護思路。對于功能強大的數(shù)據(jù)庫系統(tǒng)來說��,容易存在SQL注入點���,通過在數(shù)據(jù)庫層部署專業(yè)的安全防護產(chǎn)品�,能夠更直接有效的避免此類安全事件的發(fā)生。
產(chǎn)品咨詢:4000 258 365 
