微慑信息网

讨论数据库漏洞以及如何解决那些事

1、数据库漏洞一般有哪些种类?
权限漏洞、缓冲区溢出漏洞、内存溢出漏洞等

2、你在工作中遇见数据库漏洞以后一般是如何处理的?
遇见了也基本不知道,得靠安全工具来扫描检查,当然,SQL注入这类应用漏洞是不算数据库漏洞

3、如何才能保证你的数据库原理漏洞,安全的运行?
题目有问题,数据库原理有漏洞的话,那数据库从设计上就注定是有漏洞的。
问题应该是“如何才能保证你的数据库远离漏洞,安全的运行?”
按此回答:
1)实行必要级别的物理隔离,比如内网应用,数据库绝对不和外网接触
2)实行必要的定期安全检查和扫描策略,提前查病患
3)只打必要的升级补丁,并在打之前要做足够的测试:金融行业,建议oracle发布的每一个补丁,都需要认真解读;其他的行业则“保持关注,紧跟大版本升级,做好系统规划和安全防范,小漏洞除非重大影响,不必过于紧张—–zw81929”


/*********************************************/
1、数据库漏洞一般有哪些种类?
我觉得主要有2个方面。

1、数据库方面
1.1 使用默认端口 如: oracle  port: 1521 ; db2 port 50001 等
1.2 使用默认的用户名 / 密码 或 密码设置不规范 如: oracle  sys\system ; db2 db2admin \ db2inst1
db2 使用的操作系统的用户名和密码, 在管理上需要考虑 OS
1.3.使用安全级别比较低
1.4 通过操作能够重置管理员密码, 如 oracle 可以重置 sys / system 密码

2、人为操作
2.1、分配或授予的权限过大, 如大部分喜欢按照ROLE授权,但ROLE中包含的system privilege 过多
2.2、明文存储数据库对象 (TABLE \ VIEW \ PROC \ FUNC ) , 容易洞察数据库对象源码
2.3、应用开发不严谨, 容易导致SQL注入

/*********************************************/
2、你在工作中遇见数据库漏洞以后一般是如何处理的?

2.1、定位漏洞
2.2、评估整改工作量
2.3、纠正漏洞,需要的话,提前备份数据库数据和对象

/*********************************************/
3、如何才能保证你的数据库原理漏洞,安全的运行?
3.1、不使用默认端口
3.2、用户权限和口令管理, 用到才开
3.3、使用防止SQL注入技术,如不使用 “拼接” 字符串等
3.4、数据库定期打补丁


1、数据库漏洞一般有哪些种类?
开源的数据库经常会报告漏洞以及修复漏洞的新闻,而在商业数据库方面则很少见到。
数据库漏洞最常见的是安全方面的漏洞,详见如下:
1)默认、空白和强度弱的用户名或者密码
2)SQL注入攻击
3)用户和组的特权未管理好
4)启用不必要的数据库功能
5)糟糕的配置管理
6)缓冲区溢出
7)特权升级
8)拒绝服务攻击
9)未修复数据库与未加密重要数据

2、你在工作中遇见数据库漏洞以后一般是如何处理的?
在工作中如果发现数据库漏洞,会记入工作日志,并随后处理。如果处理不了,上报给上级,有相关团队搞定。

3、如何才能保证你的数据库原理漏洞,安全的运行?
主流的商业数据库,都有第三方的漏洞扫描工具,可以检查数据库是否存在漏洞。
对于开源数据库,我们可以手动地逐项检查数据库,避免出现漏洞。

本文标题:讨论数据库漏洞以及如何解决那些事
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0607_2221.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 讨论数据库漏洞以及如何解决那些事
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们