【安全课堂】九大角度分析数据库安全漏洞

本文讲的是【安全课堂】九大角度分析数据库安全漏洞,数据库漏洞的存在有多种方式,由于每一个现实的场景由多维组合而成,因此数据库漏洞对应也可以从不同角度归类划分。这种分类将更有利于我们掌握对每种漏洞的防护技术。

安华金和数据库安全实验室主要从以下九个角度对数据库漏洞进行分类介绍:‍‍‍‍

‍‍1.从漏洞作用范围划分
‍‍‍‍远程漏洞:攻击者可以利用并直接通过网络发起对数据库攻击的漏洞。这类漏洞危害极大,攻击者能随心所欲的通过此漏洞危害网络上可辨识的数据库。此类漏洞为黑客利用漏洞的主力。

‍‍‍‍‍‍本地攻击:攻击者必须在本机拥有访问权限的前提下才能发起攻击的漏洞。比较典型有本地权限提升漏洞,这类漏洞在数据库中广泛存在,能让普通用户获得最高管理员权限。‍‍

‍‍‍‍2. 从漏洞危害等级划分
‍‍‍‍漏洞危害等级主要按照CVE的评分来划分,分为三个档次:0-3(LOW);4-6(MEDIUM)、7-10(HIGH)。 洞的危害等级划分是根据一个漏洞对数据库造成什么影响来划分的。对数据库的响的机密性、安全性、可用性影响越大威胁等级越高,反之危险等级越低。举例说明:

CVE-2006-1705危险等级是低。它对数据库系统文件无任何影响,可能会导致数据库某些配置文件被修改,对数据库运行无任何影响。

CVE-2006-1871危险等级是中。它只是很可能造成某些信息泄露,有可能导致数据库某些配置文件被修改,可能导致数据库性能下降或小几率出现断链接。

CVE-2006-3702危险等级是高。它可以导致所有数据库系统文件泄露,数据库完全被破坏,可能导致数据库彻底宕机。

‍‍3. 从受影响系统划分
‍‍‍‍现有的操作系统多种多样,并且每种系统对应多个版本。操作系统主要分为以下五类:dos 系统、windows 系统、unix 系统、linux 系统和其他操作系统。由于漏洞注入点地址和操作系统具体版本有着直接的关系,所以需要按照操作系统的具体版本来划分。以oracle为例,由于不同的操作系统对缓冲区溢出的防守机制不同,导致这类漏洞基本不存在跨平台的可能。‍‍

‍‍4.从漏洞的危害范围划分
‍‍‍‍‍‍漏洞危害是指漏洞被利用后造成的各种危害。本文的危害是指对数据库的直接危害或利用数据库对其他系统造成的危害。这些危害可以分为三类:

‍‍‍‍‍‍危害数据库自身,这类漏洞主要是对数据库自身进行攻击。这类漏洞在下文中的“5. 从黑客入侵数据库的技术划分”一节中有详细讲解。

‍‍‍‍危害数据库所在服务器,这类漏洞通过数据库对服务器进行攻击。其中手段可分为:通过pl/SQL运行OS命令、通过JAVA运行OS命令、直接通过任务调度程序运行OS命令、使用ALTER SYSTEM运行OS命令,在oracle的某些版本中可以利用oracle编译本地pl/SQL应用程序的方式来运行OS命令。

‍‍危害数据库所在系统的文件系统,这类漏洞通过数据库对服务器上的文件系统做攻击。其中手段可分为:使用 UTL_FILE包访问文件系统、用JAVA访问文件系统、利用操作系统环境变量访问文件系统。

危害数据库所在网络上的其他平台,这类漏洞通过数据库对网络上的其他数据库和服务进行入侵。

‍‍5. 从黑客入侵数据库技术划分
‍‍‍‍‍‍5.1 SQL注入

‍‍‍‍‍‍SQL本文说所的SQLSQL注入不是web端的,而是针对数据库自身的SQLSQL注入漏洞。两者差异很大。 pl/SQL注入的思想非常简单,

‍‍‍‍在正常的sql语句中通过嵌入、注释、转义符等手段加入针对数据库漏洞或数据库设置缺陷的畸形字符串或其他畸形输入。通过单次或多次这种畸形输入逐步获取数据库中更高权限,最终获取数据库中敏感信息或直接夺取数据库DBA权限。进而可能对数据库所在的网络环境和本地服务器造成危害。

‍‍手段具体分为:

代码注入。代码注入攻击多在支持多条SQL语句执行的数据中存在。它是通过黑客在正常语句中加入恶意EXECUTE命令完成攻击的。

函数调用注入。函数调用注入是代码注入的变体,但确是整个SQL注入的核心。它利用数据库存在漏洞将恶意语句注入其中。具体手法分为:

注入select /delete/insert/update语句

注入函数

注入匿名pl/SQL块

游标注入

利用触发器

lateral提权技术
‍‍‍‍‍‍‍‍其中每种技术中还有细分,例如lateral提权技术中最著名的是CREATE ANT TRIGGER 权限提DBA、CREATE ANT VIEW 权限提DBA、EXECUTE ANY PROCEDURE权限提DBA、CREATE PROCEDUER 权限提DBA。

‍‍‍‍‍‍‍‍‍‍缓冲区溢出注入。‍‍‍‍这个缓冲区溢出和下文的缓冲区溢出不是一种。这种缓冲区溢出是数据库系统函数中某些参数被传入了超过参数长度限制的值,而引发的缓冲区溢出。

‍‍针对SQL操作的注入。‍‍最常见的是利用where子句修改SQL语句返回不同的结果集,来达到获取数据库敏感信息的目的。

‍‍‍‍5.2 缓冲区溢出

‍‍‍‍‍‍缓冲区溢出:这里所说的缓冲区溢出是指源缓冲区的数据向小于自身位数的缓冲区复制数据时,超越目标缓冲区的位数边界,并且数据库未对存入数据进行边界判断,最终导致目标缓冲区爆满。目标缓冲区内存改变程序控制流、夺取操作系统、禁止访问等多种结果。缓冲区溢出主要可以分成四种:静态数据溢出、栈溢出、堆溢出和格式化串。

‍‍‍‍‍‍‍‍手段具体分为:

‍‍‍‍‍‍栈溢出。‍‍‍‍缓冲区溢出的一种主要是通过利用截取函数返回值来进行栈溢出。方式主要分为两种,一种是通过缓冲区溢出改变函数逻辑流程;另一种方式是通过缓冲区溢出改变函数返回地址。其中比较常见的为第二种。

‍‍‍‍堆溢出。‍‍‍‍缓冲区溢出的一种,利用原理类似栈溢出,但由于堆中地址是动态分配的,无法准确定位,所以黑客要利用堆溢出需要通过DWORD SHOOT技术来对堆进行扫描,获取堆溢出中可利用的地址。

‍‍‍‍静态数据区溢出。‍‍‍‍静态数据区域存放连续的全局变量和未初始化的静态变量,缓冲区在这发生溢出称为静态数据区溢出。

‍‍‍‍格式化串。‍‍‍‍格式化串漏洞最显著的例子,就是在printf()系列函数中按照一定的格式对数据进行输出。黑客主要是利用printf()系列函数有三条特殊的性质,首先,第一个可以被利用的性质是:printf()系列函数的参数的个数是不固定的。其次,利用*printf()的一个特殊的格式符%n,黑客就向内存中写入exploit。再次,利用附加格式符控制跳转地址的值。

‍‍‍‍5.3 其他

‍‍‍‍弱口令。通常指容易被别人猜测到或被破解工具破解的口令均为弱口令,其中很大一部分是数据库默认口令,其中有一部分是因为缺省密码产生的。

‍‍‍‍撞库。通过已收集到的在其他服务中注册的用户名和密码,对目标数据库进行访问尝试。由于很多人习惯用相同密码和账号,因此成功登陆到目标数据库的可能性大大提高,达成盗取大量敏感信息的目的。‍‍‍‍

暴力破解。通过数据字典(密码库)对数据库的用户名进行碰撞,最终碰出可以用于访问数据库的用户和密码组合。‍‍‍‍

  1. 从数据库漏洞成因划分
    ‍‍‍‍输入验证错误。‍‍‍‍‍‍‍‍‍‍‍‍这种错误主要来源于字符串、包等输入值缺乏正确合理的验证,从而导致畸形的输入值进入数据库系统函数中,对数据库造成不可预计的后果。

‍‍‍‍‍‍‍‍‍‍‍‍边界条件错误。‍‍‍‍由于数据库属于大型复杂的软件,软件内部函数调用过于复杂,有时会出现对某个传入值的边界,不同地方限制不同,可能对数据库造成不良影响。

‍‍‍‍缓冲区溢出错误。‍‍‍‍由于数据库中某些函数中的参数值缺乏边界限制和检查,从而暴露出的数据库漏洞。

‍‍‍‍访问验证错误。‍‍‍‍访问验证错误主要在数据库的网络监听上,黑客通过发送欺诈数据包,来骗取数据库重要信息。

‍‍‍‍意外条件错误。‍‍‍‍由于数据库中逻辑比较复杂,某些很少被触发的逻辑分支由于软件周期等原因,未被及时发现而导致的数据库漏洞。

‍‍‍‍其他错误。‍‍‍‍‍‍除了以上五类原因错误导致的数据库漏洞,大部分其他错误是由于用户在使用数据库时,未能按照数据库官方要求进行操作和配置,或者是数据库本身的设计缺陷所引发的漏洞。‍‍‍‍

‍‍7. 从漏洞利用的结果划分
‍‍‍‍越权访问。访问原本不可访问的数据,包括读和写。这一条通常是攻击者的核心目的,而且可造成非常严重的灾难(如银行数据被人可写)。

‍‍‍‍提权。通过越权等方式,对一个低权限用户提升权限,一步一步直到提升为DBA权限。利用提权后的账号窃取数据库中核心数据。

‍‍‍‍拒绝服务。攻击者强制目标数据库停止提供服务,是黑客常用的攻击手段之一。其中数据库端口进行的消耗性攻击只是拒绝服务攻击的一小部分,凡是使数据库服务被暂停甚至所处主机死机,都属于拒绝服务攻击。

‍‍‍‍‍‍夺取操作系统。当黑客通过网络对数据库进行攻击,利用缓冲区漏洞的攻击会通过劫持被入侵函数中的栈中的函数返回值,来夺取‍‍‍‍‍‍函数控制,跳转到黑客编写的shellcode。当shellcode打开CMD(windows)即可通过数据库账号来操控操作系统,从而夺取整个操作系统的过程。

‍‍‍‍认证绕过。通常利用认证系统‍‍‍‍‍‍的漏洞不用受权就能进入系统。通常认证绕过都是为权限提升或直接的数据访问服务的。‍‍

‍‍‍‍8. 从数据库‍‍存漏洞的位置划分
‍‍‍‍由于不同数据库类似功能的名称不同本文依oracle为例说明:按照漏洞位置可以分为TNS(监听)漏洞 、Aurora GIOP server漏洞、XDB组件漏洞、DBMS_CDC_IMPDP漏洞、LT组件漏洞、DBMS_CDC_SUBSCRIBE漏洞、DBMS_CDC_ISUBSCRIBE漏洞、MDSYS.SDO_GEOM_TRIG_INSI漏洞、SYS.CDC_DROP_CTABLE_BEFORE漏洞、DBMS_SCHRDULER漏洞、UTL_FILE漏洞、Data Redaction漏洞、审计漏洞等。‍‍

‍‍‍‍9. 从漏洞产生的时序上划分
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍已发现很久的漏洞。数据库厂商已经发布补丁或修补方法,很多人已经知晓。这类漏洞通常很多人已经进行了修改,宏观上看,危‍‍‍‍‍‍害较小。

‍‍‍‍‍‍刚发现的漏洞。数据库厂‍‍‍‍商刚发布补丁或修补方法,知道的人还不多。相对于上一种漏洞其危害性较大,如果此时出现了蠕虫或傻‍‍瓜化的利用程序,那么会‍‍‍‍‍‍‍‍导致大批数据库受到攻击。这也是一般黑客最多利用的漏洞。‍‍‍‍‍‍‍‍‍‍‍‍‍‍

‍‍‍‍0day漏洞。还没有公开的漏洞,在私下交易中的。这类漏洞通常是最危险的,往往是有组织黑客所采用的。

以上9种不同角度的数据库漏洞划分,结合CVE对数据库这一类软件产生的漏洞进行简要说明,后续安华金和数据库安全实验室将会对每种类型的漏洞进行深‍‍入分析。‍‍‍‍‍‍

时间: 2017-09-04

【安全课堂】九大角度分析数据库安全漏洞的相关文章

网站用户数据的九大分析法则

网站用户数据的九大分析法则 不管你从事什么行业什么职业只有把握住数据才能把握住用户.对于网站也是一样,我们只有把握了网站的数据才能正确的分析出用户的行为习惯,喜爱和用户真正所需要的东西.话不多说,小编接着介绍如何正确分析网站用户数据. 一.用户的来源. 1.我们网站的用户都是从哪些地方过来的?这项数据可以从网站后台中分析得出. 2.我们网站的用户都是从哪些省份过来的?这项数据可以从网站后台的IP地址中分析得出. 二.网站访问次数. 1.网站每月访问次数.这项数据可以从网站后台中分析得出. 2.网

从脑科学的角度分析大数据、互联网...

1. 脑科学与互联网 本世纪初,随着互联网的发展,不断有新的应用和概念诞生,其中物联网,云计算和大数据得到了研究者的重点关注,并引起广泛的研究热潮. 研究者已经从不同方面对物联网,云计算,大数据进行了深入研究并取得诸多成果.但还存在一些问题等待解决,例如,物联网,云计算,大数据与互联网是怎样的关系,它们之间又是如何区分和关联的.本世纪初开始的互联网与脑科学的交叉对比研究,为分析物联网,云计算,大数据与互联网的关系奠定了基础. 如果我们观察近20年来互联网出现的新应用和新功能,可以直观的发现互联网

预警即预防:6大常见数据库安全漏洞

总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据.然后,更多不那么聪明的黑客不断重复老旧套路--因为同样老旧的漏洞一直在全球各个企业里涌现. 无论如何,数据泄露总是破坏性的;但更糟的是,要怎么向受影响的用户.投资人和证监会交代呢?一家公司上千万用户的个人数据,总不会自己长脚跑到黑市上躺着被卖吧?于是,在各种监管机构找上门来问一些很难堪的问题之前,我们还是来看看这几个最常见的数据库安全漏洞吧. 一.数据库安全重要性上升 只要存储了任何人士的任意个人数据,无论是用户还是公司员工,数据库安全

【RSA专题】RSA 2017总结:九大趋势影响未来安全产业

 2017年02月20日 10:34  924 刚刚闭幕的2017 RSA 大会,作为安全行业的重要风向标,为行业展示了重要的技术趋势与方向. 总结来看,安全重要性被再度提升,成为影响企业业务的要素.此外,安全产业的协作,安全产品的整合与平台化,云安全,机器学习在安全领域的产品化,终端一体化,威胁情报精细化都是本次大会透露的重要趋势. 趋势一: 从IT驱动安全到业务驱动安全 在RSA大会上,安全重要性再次被提升. 作为EMC的一部分,RSA在EMC被收购后,成为Dell Technologies

CVE-2013-2551样本分析及漏洞利用和防御

本文讲的是CVE-2013-2551样本分析及漏洞利用和防御, 0x0 写在前面 VUPEN团队在Pwn2Own 2013黑客大赛上使用漏洞攻破Windows 8环境下的IE10,随后在其博客上公开了技术细节.根据VUPEN描述,该漏洞产生于VGX.DLL模块,在VML语言中处理图形标签的stroke子元素的dashstyle存在安全隐患 微软在安全公告MS13-037中详细列举了受影响软件范围从IE6-IE10,并给出相应平台的安全更新 本文调试的Poc由4B5F5F4B根据VUPEN在博客中

价值1207亿的技术分享,你不能错过“2016双11技术创新”的九大理由!

双11的剁手党们.阿里的粉们以及广大的技术精英爱好者们,你们必须知道阿里又要"发车"了: 本次技术论坛是一场全面解读双11背后技术创新的饕餮盛宴,特别邀请了亲历2016年双11的8位阿里技术大V:从承载亿级用户大流量的网络自动化技术,到资源充分利用的超大规模Docker化:从支撑最大规模在线交易的实时和离线计算能力,到人工智能在搜索和推荐场景下的创新应用:从颠覆购物体验的VR互动,到背后千人千面的商铺个性化:从应对前端极限挑战的"秒开项目",到绚烂媒体大屏背后全面的

红帽2015年九大技术预测

红帽高管及业内专家们提出了他们对2015年IT行业的看法,具体涉及如下九大方面:大数据.技术引领业务.云计算.容器.开发人员和应用开发.物联网.移动.安全.软件定义的数据中心. 1. 大数据 企业数据科学家的地位越来越高 Greg Kleiman,红帽存储与大数据部门战略总监 大数据和数据之间的界限将日益模糊.CIO将会把传统数据源(如数据仓库).商业智能分析以及数据集与新的"大数据"技术如Hadoop进行整合.通过对大数据的分析和掌控,将会产生新的颠覆性业务和市场细分.此外,基于开源

一小时了解数据挖掘④:商务智能原理解读の数据挖掘九大定律

接上3篇: 一小时了解数据挖掘①:解析常见的大数据应用案例  一小时了解数据挖掘②:分类算法的应用和成熟案例解析 一小时了解数据挖掘③:详解大数据挖掘の分类技术 马云在2012年网商大会上的演讲中说过:"假如我们有了一个数据预报台,就像为企业装上了一个GPS和雷达,企业的出海将会更有把握.".这里的数据预报台就是下文所述的商业智能. 什么是商业智能(Business Intelligence) 数据挖掘的最终目的是要实现数据的价值,而商业智能是在企业中实现数据价值的最佳方式之一.商业智

未来两年内的九大信息安全威胁(二)

上接 未来两年内的九大信息安全威胁(一) D1net观察:我们日常依赖的互联网可靠吗,哪些攻击可以造成互联网的中断,预防互联网中断可以采取哪些措施?企业如何面对物联网设备遭受到勒索软件的劫持?企业以为自己的数据很安全,但是如果和数据安全相关或者和企业关键信息相关的员工遭受暴力威胁,怎么办?企业往往会根据掌握的信息制定公司战略和做出决策,但是,企业掌握的信息可靠吗?人工智能如火如荼,但是人工智能也可以被攻击者利用,那么如何防止攻击者利用人工智能传播企业的虚假消息?据预测,到2019年,65%的全球