新的安全漏洞名單列出了可導致數(shù)據(jù)破壞的最常見的數(shù)據(jù)庫問題。
對于Application Security公司新的十大數(shù)據(jù)庫漏洞名單中所列出的問題���,數(shù)據(jù)庫管理員都非常熟悉����。從預設(shè)密碼的使用到補丁問題��,數(shù)據(jù)庫管理系統(tǒng)受到各種問題的困擾��, 使其容易受到攻擊���。當我報告數(shù)據(jù)庫管理問題時���,數(shù)據(jù)庫管理員告訴我����,他們都意識到這些常見的可能導致數(shù)據(jù)破壞的安全問題���。但是�����,他們常說包含敏感數(shù)據(jù)的 DBMS通常由許多不同的安全系統(tǒng)包圍,這減少了攻擊的威脅��。
十大數(shù)據(jù)庫漏洞
1.默認��、空白及弱用戶名/密碼
2.SQL注入
3.廣泛的用戶和組權(quán)限
4.啟用不必要的數(shù)據(jù)庫功能
5.失效的配置管理
6.緩沖區(qū)溢出
7.特權(quán)升級
8.拒絕服務(wù)攻擊
9.數(shù)據(jù)庫未打補丁
10.敏感數(shù)據(jù)未加密
常見的安全做法
我記得我在2003年采訪了Oracle數(shù)據(jù)庫專家兼顧問Don Burleson��。Don Burleson是一位著名的Oracle數(shù)據(jù)庫顧問�����,他的許多建議幾乎適用于任何數(shù)據(jù)庫管理系統(tǒng)���。他說�����,最常見的安全錯誤是由數(shù)據(jù)庫管理員不能正確讀取安裝說明導致的����。默認密碼和用戶ID很容易被保留。數(shù)據(jù)庫管理員沒能很好地對數(shù)據(jù)庫訪問進行限制�����,這也增加了入侵的風險��。
內(nèi)部威脅
Securosis的首席技術(shù)官Adrian Lane最近概述了企業(yè)在部署數(shù)據(jù)庫活動監(jiān)控(DAM)軟件時�����,可能會面臨的一些問題����。Echelon One的安全專家David Mortman寫過一個專家技巧,概述了企業(yè)在減輕內(nèi)部威脅方面���,可以采取的措施����。
粵公網(wǎng)安備44011302004697
