数据库入侵的六大手段与防范措施(二)

  • 时间:
  • 浏览:0
  • 来源:uu快3电脑版_uu快3和值_礼金

数据库的入侵防范上一篇让有人儿分析了对弱口令或默认用户名/口令的破解,这个 篇让有人儿来分析第二种最好的法律法律依据手段,它可是特权的提升。

特权提升:

  有几种实物人员攻击的最好的法律法律依据可不需要能原困恶意的用户占有超过其应该具有的系统特权。如保让实物的攻击者有时通过破坏操作系统而获得更高级别的特权。应用安全公司的销售副总裁Ted Julian说,“这是某种常见的威胁因素。”

  特权提升通常更多地与错误的配置有关:另俩个多 用户被错误地授与了超过人太好际时要用来完成工作的、对数据库及其相关应用tcp连接池池的访问和特权。

  Forrester的Yuhanna说,“这是另俩个多 控制间题。有时另俩个多 企业并没有 提供哪几买车人员时要访问何种资源的良好框架价值形式,如保让通常情况表下,数据库管理员并没有 从业务上理解企业的数据。这是间题之一。”

如保让,有时另俩个多 实物的攻击者(之后 另俩个多 之后 控制了受害人机器的实物的家伙)可不需要能轻松地从另俩个多 应用tcp连接池池跳转到数据库,即使他并没有 这个 数据库的相关凭证也可不需要能没有 。Yuhanna 说,“另俩个多 非特权用户可不需要能试着连接到数据库,只要他可不需要能访问另俩个多 系统,如CRM,他就可不需要能用同样的口令通过检查,即使他没有 获得此数据库的授权。这个 控制并没有 实现很好的集中化。”

  Sentrigo的Markovich近来要能通过另俩个多 拥有少许特权的用户账户攻入另俩个多 客户的数据库。Markovich说,“让有人要求我攻入其数据库。我找到了另俩个多 少许特权的用户口令,如保让就进入了系统。如保让我检查了他的特权,他拥有对数据库的只读性访问,如保让另俩个多 少许特权的用户可不需要能访问读取数据库内的任何表,包括信用卡信息、买车人信息。如保让,让有人说:‘我不时要攻入数据库。’”

 专家们说,经验法则应当说是仅给用户所时要的数据库访问和权力,并不有更多的东西。

  还有哪几个拥有合法访问的特权用户,让有人头脑中之后 并没有 合法的操作。“你如保控制访问呢?这个 领域也正在之后 开始演化。”

版权声明:本文内容由互联网用户自发贡献,版权归作者所有,本社区不拥有所有权,可是承担相关法律责任。之后 您发现本社区中有 涉嫌抄袭的内容,欢迎发送邮件至:

进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。