黑客的选择：六大数据库攻击手段

下面分别分析一下：

1.对弱口令或默认用户名/口令的破解

以前的Oracle数据库有一个默认的用户名：Scott及默认的口令：tiger；而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。

当然这些默认的登录对于黑客来说尤其方便，借此他们可以轻松地进入数据库。

Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来，它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。

Forrester的Yuhanna说，“问题是企业拥有15000个数据库，而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全，其它的就不太安全了。现在，较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。”

但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Markovich 说，“你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。”

口令破解工具有很多，并且通过Google搜索或sectools.org等站点就可以轻易地获得,这样就会连接到Cain 、 Abel或John the Ripper等流行的工具。

保护自己免受口令攻击的最佳方法：避免使用默认口令，建立强健的口令管理程序并对口令经常改变。

2.特权提升

有几种内部人员攻击的方法可以导致恶意的用户占有超过其应该具有的系统特权。而且外部的攻击者有时通过破坏操作系统而获得更高级别的特权。应用安全公司的销售副总裁Ted Julian说，“这是一种常见的威胁因素。”

特权提升通常更多地与错误的配置有关：一个用户被错误地授与了超过其实际需要用来完成工作的、对数据库及其相关应用程序的访问和特权。

Forrester的Yuhanna说，“这是一个控制问题。有时一个企业并没有提供哪些人员需要访问何种资源的良好框架结构,而且通常情况下，数据库管理员并没有从业务上理解企业的数据。这是问题之一。”

而且，有时一个内部的攻击者（或者一个已经控制了受害人机器的外部的家伙）可以轻松地从一个应用程序跳转到数据库，即使他并没有这个数据库的相关凭证也可以如此。Yuhanna 说，“一个非特权用户可以试着连接到数据库，只要他可以访问一个系统，如CRM，他就可以用同样的口令通过检查，即使他没有获得此数据库的授权。有些控制并没有实现很好的集中化。”

Sentrigo的Markovich近来能够通过一个拥有少量特权的用户账户攻入一个客户的数据库。Markovich说，“他们要求我攻入其数据库。我找到了一个少量特权的用户口令，然后就进入了系统。然后我检查了他的特权，他拥有对数据库的只读性访问，因此一个少量特权的用户可以访问读取数据库内的任何表，包括信用卡信息、个人信息。因此，我说：‘我不需要攻入数据库。’”

专家们说，经验法则应当说是仅给用户所需要的数据库访问和权力，不要有更多的东西。

还有那些拥有合法访问的特权用户，他们头脑中可能并没有合法的操作。“你如何控制访问呢？这个领域也正在开始演化。”

3.利用未用的和不需要的数据库服务和功能中的漏洞

当然，一个外部的攻击者会寻找较弱的数据库口令，看其潜在的受害人是否在运行其Oracle数据库上运行监听程序（Listener）功能。监听程序可以搜索出到达Oracle数据库的网络连接，并可以转发此连接，这样一来就会将用户和数据库的链接暴露出来。

只需采用一些Google hacking攻击，一位攻击者就可以搜索并找到数据库服务上暴露的监听程序。Markovich 说，“许多客户并没有在监听程序上设置口令，因此，黑客就可以搜索字符串并找出Web上活动的监听程序。我刚才搜索了一下，发现有一些可引起人们注意的东西，如政府站点。这确实是一个大问题。”

其它的特性，如操作系统和数据库之间的钩子可以将数据库暴露给攻击者。这种钩子可以成为达到数据库的一个通信链接。Yuhanna说，“在你链接库和编写程序时…那将成为与数据库的界面，”你就是在将数据库暴露出去，并可能在无认证和无授权的情况下让黑客进入内部。

通常，数据库管理员并没有关闭不需要的服务。Julian 说，“他们只是任其开着。这种设计过时且管理跟不上，这是让其发挥实际作用的最简单方法。不需要的服务在基础结构中大摇大摆地存在，这会将你的漏洞暴露在外。”

关键是要保持数据库特性的精简，仅安装你必须使用的内容。别的东西一概不要。Markovich说，“任何特性都可被用来对付你，因此只安装你所需要的。如果你并没有部署一种特性，你就不需要以后为它打补丁。”