2016年3月8日,某電商平臺(tái)的ERP 系統(tǒng)遭到黑客攻擊�����,事件中使用的SQL注入攻擊是數(shù)據(jù)庫(kù)安全攻擊中幾乎最常見的SQL注入����?;诎踩A金和數(shù)據(jù)庫(kù)安全攻防實(shí)驗(yàn)室的技術(shù)分析和模擬攻擊過程還原,SQL注入點(diǎn)可能來自O(shè)racle數(shù)據(jù)庫(kù)自身的三個(gè)安全機(jī)制缺陷�����。
缺陷1: oracle數(shù)據(jù)庫(kù)自身的存儲(chǔ)過程和函數(shù)調(diào)用的權(quán)限機(jī)制存在安全隱患
用戶調(diào)用pl/sql子程序的時(shí)候,程序在訪問所涉及到的底層對(duì)象(包括表格等)時(shí)���,用戶不必?fù)碛性L問這些對(duì)象的權(quán)限�,只需要用戶有該存儲(chǔ)過程的執(zhí)行權(quán)限即可�;而執(zhí)行時(shí)是參照的是該子程序定義者的權(quán)限。
簡(jiǎn)單說就是如果用創(chuàng)建者只有創(chuàng)建權(quán)限��,沒有執(zhí)行權(quán)限那么即便用sys賬號(hào)也依舊無法執(zhí)行�。因?yàn)閳?zhí)行定義者權(quán)限模式的子程序的時(shí)候。在子程序中當(dāng)前賬號(hào)權(quán)限和創(chuàng)建該子程序用戶權(quán)限一致�。雖然這給oracle帶來了很大的靈活性,但是會(huì)有很大的安全隱患�。就像上文的例子一樣。黑客可以利用子程序獲得和子程序創(chuàng)建者一樣高的權(quán)限����,再以高權(quán)限執(zhí)行惡意代碼。黑客可以通過這種手段獲得DBA賬號(hào)��、甚至控制整個(gè)oracle����。
缺陷2:oracle中有些系統(tǒng)函數(shù)的參數(shù)對(duì)輸入類型和長(zhǎng)度缺乏控制���,導(dǎo)致形成注入點(diǎn)。對(duì)于這種oracle缺乏控制的的函數(shù)的參數(shù)需要進(jìn)一步約束��。約束的方法可以等待oracle進(jìn)行補(bǔ)丁修復(fù)后進(jìn)行補(bǔ)丁升級(jí)�����,也可以通過數(shù)據(jù)庫(kù)防火墻對(duì)特定函數(shù)使用的范圍做一定的限制���。
缺陷3:Oracle自身存在系統(tǒng)存儲(chǔ)過程或函數(shù)自身存在提權(quán)漏洞
這些系統(tǒng)性的存儲(chǔ)過程或函數(shù)需要調(diào)用者的權(quán)限很低�,但通過注入的方式�,完成將調(diào)用者的權(quán)限提升到dba,如:
SYS.LT.COMPRESSWORKSPACETREE����、SYS.DBMS_CDC_IMPDP.BUMP_SEQUENCE、SYS.KUPW$WORKER.MAIN�����、CTXSYS.DRILOAD.BUILD_DML等����。
通過以上對(duì)Oracle數(shù)據(jù)庫(kù)安全機(jī)制缺陷的分析,希望能夠?qū)racle用戶提供安全防護(hù)思路�。對(duì)于功能強(qiáng)大的數(shù)據(jù)庫(kù)系統(tǒng)來說,容易存在SQL注入點(diǎn)�,通過在數(shù)據(jù)庫(kù)層部署專業(yè)的安全防護(hù)產(chǎn)品,能夠更直接有效的避免此類安全事件的發(fā)生����。
產(chǎn)品咨詢:4000 258 365 
