欧美精品一区二区,体育生GAY白袜调教VIDEO,私人影院播放器,色偷偷AV老熟女色欲涩爱

?
內(nèi)容中心
按關(guān)鍵字查找
2015年數(shù)據(jù)庫漏洞威脅報告
作者:思成 發(fā)布時間:2016-06-29

互聯(lián)網(wǎng)就像空氣,徹底的融入我們的生活之中。因此我們愈發(fā)習(xí)慣把越來越多的數(shù)據(jù)保存在網(wǎng)上以換取更便捷的服務(wù)。不過,隨之而來的安全事件無不讓人觸目驚心。安華金和數(shù)據(jù)庫安全攻防實驗室(DBSecLabs)帶您深究泄漏事件背后的原因。

2015年1月機(jī)鋒論壇包括用戶名、郵箱、加密密碼的2300萬用戶信息泄漏。隨后國內(nèi)10多家酒店大量客戶開房信息泄 漏、中國廣東人壽10W保單泄漏、大麥網(wǎng)600萬用戶信息和網(wǎng)易郵箱過億用戶信息泄漏……一連串的信息泄漏事件無不令人提心吊膽。覆巢之下安有完卵,全球 第二大比特幣交易網(wǎng)站Bitstamp遭到黑客入侵,新型銀行木馬Emotet盜取德國國民網(wǎng)銀證書,就連一直以安全著稱的瑞士銀行在互聯(lián)網(wǎng)的世界也難逃 被黑客入侵的噩夢。

 

數(shù)據(jù)庫漏洞研究起源

大數(shù)據(jù)時代的來臨,各個行業(yè)數(shù)據(jù)量成 BT 級增長。 數(shù)據(jù)庫被廣泛使用在各種新的場景中,在某些場景下面臨的安全威脅是數(shù)據(jù)庫現(xiàn)有安全機(jī)制無法防護(hù)的??梢钥吹降氖牵簲?shù)據(jù)庫的優(yōu)良性能和落后的安全機(jī)制成為鮮明的對比。

雖然數(shù)據(jù)庫安全設(shè)計最初是按照美國國防部的標(biāo)準(zhǔn)制定而成,不過那些安全標(biāo)準(zhǔn)與現(xiàn)實安全的意義有著很大的差別??v然大部分商用數(shù)據(jù)庫都通過了安全標(biāo)準(zhǔn)檢驗,但隨著功能的開發(fā)和部署在危險的網(wǎng)絡(luò)環(huán)境中,安全短板就成為其“阿克琉斯之踵”。

1996年開始數(shù)據(jù)庫安全進(jìn)入安全團(tuán)隊視野,同年4月份Oracle被披露出第一個安全漏洞開始,隨著新版本和新功能的出現(xiàn)漏洞呈震蕩增長趨勢。2014年當(dāng)年被披露的各大數(shù)據(jù)庫漏洞高達(dá)129個。


 圖 1.1 2011-2015主流數(shù)據(jù)庫漏洞數(shù)量

今年截止到2015 年12 月份初被確認(rèn)數(shù)據(jù)庫漏洞一共 76個,比2014年下降了 53 個,減幅達(dá)到41%。這與各大數(shù)據(jù)庫公司開發(fā)自己的代碼審計工具有著密不可分的聯(lián)系。

2015年漏洞分布


OracleMicrosoft SQL ServerMySQLIBM DB2POSTGRESQLSAP SYBASEIBM informix
143474530
圖 1.2 2015年數(shù)據(jù)庫漏洞分布

今年曝出的76個數(shù)據(jù)庫漏洞中,MySQL漏洞數(shù)占據(jù)全年漏洞總數(shù)的62%,共計47個。漏洞主要集中在5.5 和5.6 這兩個主流版本中。

安華金和數(shù)據(jù)庫安全攻防實驗室通過分析發(fā)現(xiàn)MySQL 的47 個漏洞散落在12個MySQL 組件和一個未知組件上。眾所周知MySQL 是一款易拆合的輕量級數(shù)據(jù)庫,因此12 個組件中有很多是非必備組件。舉個例子來說innoDB存在的6 個漏洞,如果您的業(yè)務(wù)不需要 innoDB,則建議禁止innoDB的使用。


 圖 1.3 MySQL漏洞分布組件

因此,安華金和數(shù)據(jù)庫安全攻防實驗室建議使用 MySQL 的公司、團(tuán)體和個人及時對自己的 MySQL 數(shù)據(jù)庫進(jìn)行補(bǔ)丁升級。有研發(fā)能力的單位最好對MySQL源碼進(jìn)行審計,修復(fù)其中的問題。關(guān)閉與自己業(yè)務(wù)無關(guān)的組件,編譯出適合自己應(yīng)用需求的定制化MySQL。

同樣Oracle數(shù)據(jù)庫也被爆出 14 個漏洞,位居其次。這些漏洞集中于 java vm、XDB 和Core RDBMS中。Core RDBMS 是Oracle數(shù)據(jù)庫的最核心組件,在 windows下以一個Oracle.exe進(jìn)程出現(xiàn),而Linux下則是分成多個進(jìn)程,這些進(jìn)程負(fù)責(zé)著不同的功能,以此保證 Oracle 數(shù)據(jù)庫的正常運行。Java VM是java 虛擬機(jī)負(fù)責(zé)運行 Oracle中的Java 代碼,例如 Oracle圖形化安裝程序。 XDB 的漏洞往往來自于 XDB, 是負(fù)責(zé)處理 XML 的組件。 XDB 有2 個對外端口是HTTP和 FTP。這2個端口經(jīng)常會給數(shù)據(jù)庫帶來緩沖區(qū)溢出漏洞—一種無需身份驗證的高危漏洞。


 圖 1.4 Oracle漏洞分布組件

不過Oracle數(shù)據(jù)庫漏洞常年居高不下與其自身復(fù)雜的邏輯密不可分。


 圖 1.5 2015年數(shù)據(jù)庫漏洞—按廠商分類

2015年Oracle漏洞數(shù)占了總漏洞數(shù)的83%。這與它旗下兩款數(shù)據(jù)庫占據(jù)的市場份額和支持的功能復(fù)雜度有著密切關(guān)系。我們應(yīng)該知道,各廠商產(chǎn) 品的漏洞數(shù)量不僅與產(chǎn)品自身的安全性有關(guān),而且也和廠商的產(chǎn)品數(shù)量、產(chǎn)品的復(fù)雜度、受研究者關(guān)注程度等多種因素有關(guān)。因此,我們不能簡單地認(rèn)為公開漏洞數(shù) 量越多的廠商產(chǎn)品越不安全。其實 Oracle無論是性能還是安全性在同業(yè)者中都處于前列。

2015年數(shù)據(jù)庫漏洞威脅類型

將漏洞按照其危害程度分為:高危漏洞,中危漏洞,低危漏洞三大類。2015年7大主流數(shù)據(jù)庫中均存在高危漏洞。


 圖 1.6 2015年數(shù)據(jù)庫漏洞—按威脅程度分類

其中高危漏洞占漏洞總數(shù)的12%,中危漏洞數(shù)量最多占據(jù)了58%,低威脅漏洞占30%。

 


 圖 1.7 威脅等級比例

12%的高危漏洞將是安華金和關(guān)注的重點。因此建議:高危漏洞必須及時處理。在某些特定情況下低危、中危漏洞也會達(dá)到高危漏洞的危害程度,所以對于低危漏洞也要及時修復(fù)。

2015年數(shù)據(jù)庫漏洞利用趨勢

數(shù)據(jù)庫安全發(fā)展到現(xiàn)在,繞過身份驗證依舊是對數(shù)據(jù)庫安全最大的威脅。今年的 9個高危漏洞中的 3 個是針對身份驗證繞過的。它們分別采用的是緩沖區(qū)溢出、通訊協(xié)議破解和默認(rèn)口令三張種方式。雖然緩沖區(qū)溢出和通訊協(xié)議破解的漏洞越來越少,一旦出現(xiàn)將是數(shù)據(jù)庫的噩夢。

2015年SQL 注入依舊是漏洞中的主流,80%以上的漏洞都屬于SQL注入范疇,利用數(shù)據(jù)庫系統(tǒng) SQL 語言漏洞,通過對低權(quán)限用戶進(jìn)行升級權(quán)限來獲取更多數(shù)據(jù)庫內(nèi)的敏感信息。作為數(shù)據(jù)庫管理員應(yīng)嚴(yán)格分配用戶權(quán)限,防止分配給用戶過高權(quán)限,對非必要服務(wù)請進(jìn) 行禁用或卸載,防止其中存在的漏洞被黑客利用,對數(shù)據(jù)庫造成入侵。

2016年數(shù)據(jù)庫安全建議

面對日益嚴(yán)峻的數(shù)據(jù)庫安全形式,數(shù)據(jù)庫加固應(yīng)該從三個方面進(jìn)行:嚴(yán)格限制弱口令、及時排出配置問題、定期升級補(bǔ)丁。也可以從時間節(jié)點上劃分為三個階 段:入侵前的檢查防護(hù),事中的防御阻斷,入侵事后審計追蹤。事前防護(hù)階段的重點在于排查,定期對整個網(wǎng)絡(luò)環(huán)境進(jìn)行弱點掃描,網(wǎng)絡(luò)中任何一點的漏洞都可能導(dǎo) 致最后的數(shù)據(jù)泄露??梢远ㄆ谡垖H藢φ麄€網(wǎng)絡(luò)做滲透測試,同時通過數(shù)據(jù)庫漏洞掃描器等相關(guān)產(chǎn)品對整個環(huán)境進(jìn)行安全檢查。

在事中阻斷防御時,防御的重點在于準(zhǔn)確判斷哪些語句屬于入侵語句。推薦在 Web 前端部署 WAF 來解決大部分針對 Web 的入侵行為,同時數(shù)據(jù)庫前部署專業(yè)的數(shù)據(jù)庫防火墻。 
 在事后通過對用戶訪問數(shù)據(jù)庫行為的記錄、審計分析,幫助用戶事后進(jìn)行數(shù)據(jù)泄密行為的追根溯源,提高數(shù)據(jù)資產(chǎn)安全。

結(jié)束語

回顧近年來安華金和數(shù)據(jù)庫安全攻防實驗室(DBSecLabs )對數(shù)據(jù)庫漏洞的研究,我們發(fā)現(xiàn)任何一款數(shù)據(jù)庫漏洞的出現(xiàn)和防治都會遵循某些特定的規(guī)律。雖然每年漏洞出現(xiàn)的數(shù)量并非穩(wěn)定下降,但數(shù)據(jù)庫自身出現(xiàn)漏洞的幾率越來越低。漏洞數(shù)量不能穩(wěn)定下降主要有兩方面的原因:

1.很多數(shù)據(jù)庫為了方便用戶擴(kuò)展了大量接口和功能,新功能在最初的版本總是受到自身漏洞和兼容性漏洞的雙重困擾。

2.黑客利用漏洞的能力越來越強(qiáng),以前很多被發(fā)現(xiàn)的漏洞其實是無法被利用的,黑客逐漸把其中一些無法利用的漏洞變成可利用。同時黑客也會特別關(guān)注與某些行業(yè),數(shù)據(jù)庫漏洞攻擊往往也集中在這些行業(yè)領(lǐng)域。

最后,也是最重要的,大部分?jǐn)?shù)據(jù)庫漏洞攻擊者依然是以獲利為目的。數(shù)據(jù)庫跟隨業(yè)務(wù)逐漸從后臺走向前臺;從內(nèi)外走向外網(wǎng);從實體走向虛擬(云)。部署環(huán)境的發(fā)展給了黑客更多入侵?jǐn)?shù)據(jù)庫的機(jī)會。

 

下載完整版:《2015年數(shù)據(jù)庫漏洞威脅報告》

 


?
艳mu无删减在线观看免费无码| 国产精品亚洲一区二区| 奇米网777四色首页| 公主恋人ova| 美女100%裸体无内衣内裤| 我的世界珍妮视频完整版在线观看| ysl千人千色yese88网站| 精品人妻无码一区二区三区牛牛| 大又大又粗又硬又爽少妇毛片| 我与美艳yin荡丝袜的老师| 国产成人久久一区二区不卡三区| 邻居的丰满人妻hd学生| 亚洲性视频| 乱LUN合集1第40部分阅读| 熟妇的奶头又大又粗| 亚洲国产成人精品无码区二本 | 日本少妇ass浓精pics| 中文字幕亚洲乱码熟女在线萌芽| 一 级 黄 色 片一录像厅| 色狠狠一区二区三区香蕉| 女人被添全过程a片试看v| 人妻丰满精品一区二区A片| 无码精品国产av在线观看| 中国熟妇色xxxxx中国学生| 亚洲丰满多毛的隂户| 国产人妻久久精品二区三区特黄 | 男女高潮又爽又黄又无遮挡| 国产性大战xxxxx久久久| 男男黄GAY片免费网站WWW| 精品国产三级a∨在线| 色情污污污www网站下载| 美女露?0的奶头无挡挡| 亚洲av在线观看| 丰满人妻少妇久久久久久| 肉色超薄丝袜脚交一区二区| 玩弄高耸白嫩的乳峰a片| 被仇人调教成禁脔h虐| 好爽又高潮了毛片免费下载| 差差漫画在线观看登录页面弹窗| 婷婷久久五月色蜜桃7777| cao死你小sao货湿透了np|