讨论数据库漏洞以及如何解决那些事

1、数据库漏洞一般有哪些种类？
权限漏洞、缓冲区溢出漏洞、内存溢出漏洞等

2、你在工作中遇见数据库漏洞以后一般是如何处理的？
遇见了也基本不知道，得靠安全工具来扫描检查，当然，SQL注入这类应用漏洞是不算数据库漏洞

3、如何才能保证你的数据库原理漏洞，安全的运行？
题目有问题，数据库原理有漏洞的话，那数据库从设计上就注定是有漏洞的。
问题应该是“如何才能保证你的数据库远离漏洞，安全的运行？”
按此回答：
1)实行必要级别的物理隔离，比如内网应用，数据库绝对不和外网接触
2)实行必要的定期安全检查和扫描策略，提前查病患
3)只打必要的升级补丁，并在打之前要做足够的测试:金融行业，建议oracle发布的每一个补丁，都需要认真解读；其他的行业则“保持关注，紧跟大版本升级，做好系统规划和安全防范，小漏洞除非重大影响，不必过于紧张—–zw81929”

/*********************************************/
1、数据库漏洞一般有哪些种类？
我觉得主要有2个方面。

1、数据库方面
1.1 使用默认端口 如: oracle  port: 1521 ; db2 port 50001 等
1.2 使用默认的用户名 / 密码 或 密码设置不规范 如: oracle  sys\system ; db2 db2admin \ db2inst1
db2 使用的操作系统的用户名和密码, 在管理上需要考虑 OS
1.3.使用安全级别比较低
1.4 通过操作能够重置管理员密码, 如 oracle 可以重置 sys / system 密码

2、人为操作
2.1、分配或授予的权限过大, 如大部分喜欢按照ROLE授权，但ROLE中包含的system privilege 过多
2.2、明文存储数据库对象 (TABLE \ VIEW \ PROC \ FUNC ) , 容易洞察数据库对象源码
2.3、应用开发不严谨, 容易导致SQL注入

/*********************************************/
2、你在工作中遇见数据库漏洞以后一般是如何处理的？

2.1、定位漏洞
2.2、评估整改工作量
2.3、纠正漏洞，需要的话，提前备份数据库数据和对象

/*********************************************/
3、如何才能保证你的数据库原理漏洞，安全的运行？
3.1、不使用默认端口
3.2、用户权限和口令管理, 用到才开
3.3、使用防止SQL注入技术，如不使用 “拼接” 字符串等
3.4、数据库定期打补丁

1、数据库漏洞一般有哪些种类？
开源的数据库经常会报告漏洞以及修复漏洞的新闻，而在商业数据库方面则很少见到。
数据库漏洞最常见的是安全方面的漏洞，详见如下：
1）默认、空白和强度弱的用户名或者密码
2）SQL注入攻击
3）用户和组的特权未管理好
4）启用不必要的数据库功能
5）糟糕的配置管理
6）缓冲区溢出
7）特权升级
8）拒绝服务攻击
9）未修复数据库与未加密重要数据

2、你在工作中遇见数据库漏洞以后一般是如何处理的？
在工作中如果发现数据库漏洞，会记入工作日志，并随后处理。如果处理不了，上报给上级，有相关团队搞定。

3、如何才能保证你的数据库原理漏洞，安全的运行？
主流的商业数据库，都有第三方的漏洞扫描工具，可以检查数据库是否存在漏洞。
对于开源数据库，我们可以手动地逐项检查数据库，避免出现漏洞。