攻防实验室
安华金和数据库攻防实验室(dbsec labs)于2010年11月成立,是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。安华金和数据库攻防实验室。通过对数据库自身、数据库使用环节存在的安全漏洞及黑客如何利用数据库漏洞对客户信息资产进行侵害的研究,团队人员研究有效防御手段,降低数据库安全风险,以实现对数据资产的保护。
dbsec labs采用开放的心态积极与学院和社会数据库安全研究组织团体进行沟通,积极参与cve组织(common vulnerabilities and exposures,国际漏洞公布组织)、cnnvd(china national vulnerability database of information security,中国国家信息安全漏洞库)组织的活动,以及国家等级保护和分级保护的技术研究中。
dbsec labs研究职责
1、对数据库安全漏洞进行研究,是dbsec labs的首要职责。
当前我国广泛地使用oracle、sql server和db2等国外数据库产品,随着我国安全产品自主化的基本国策,确定了对国外数据库产品的漏洞和后门研究,关系着国家安全需求。
dbsec labs同时将投入力量对广泛使用的mysql、postgre等开源数据库进行安全漏洞研究;投入力量对武汉达梦、人大金仓、神舟通用、南大通用的数据库产品进行安全漏洞研究。
2、黑客数据库入侵手段研究
黑客入侵数据库不仅利用数据库的自身漏洞,还会利用合法应用系统提供的漏洞途径(如sql注入),操作系统漏洞(文件层攻击),网络漏洞(网络通讯捕获)等手段获得数据库内的储存信息。dbsec labs针对这些黑客攻击手段进行研究。
3、数据库防护手段研究
dbsec labs将对数据库漏洞扫描、web sql注入扫描、网络监控与分析、数据库加密、增强认证、增强权限、数据库应用安全、数据库审计等数据库防护手段进行追踪和研究。
dbsec labs部分成果
1、数据库漏洞提交
dbsec labs将发现的数据库漏洞提交给cve组织,以及我国的cnnvd、cnvd等漏洞平台,以利于安全厂商和安全用户共享。
截止2020年8月,安华金和攻防实验室向ibm、达梦、gbase、informix、db2、oracle、mongodb等数据库厂商提交并获认证的数据库漏洞共82个,其中包括1个超高危漏洞、36个高危漏洞,36中高危漏洞,9个低危漏洞。累计复现数据库漏洞 74个,其中高危数据库漏洞 23个,中危数据库漏洞 29个,低危数据库漏洞 5个,未定级数据库漏洞 17个,另外提交漏洞正在确认中。
具体漏洞认证证书请跳转至数据库漏洞挖掘页面。
2、研究成果公开
dbsec labs把大部分研究成果转化成专业论文在专业杂志和网络期刊进行公开发表,将相关的数据库攻击手段和防御措施录制成视频在网上发布,对典型数据库安全事件进行分析帮助用户了解数据库安全威胁,制作《数据库安全威胁与防护》企业内部杂志免费提供给用户,参与编写第三方机构的数据库安全研究报告,分享数据库安全态势及攻防技术研究成果。
dbsec labs根据多年以来对数据库安全风险分析与防护实践的经验总结,陆续编写并发布专门针对oracle、mysql、sql server、db2、mongodb、postgresql六大国际主流数据库以及gbase、kingbase、达梦三大国产主流数据库的《安全配置指导手册》。
3、数据库安全产品研发
dbsec labs的研究成果融入到安华金和的数据库安全产品系列中。数据库漏洞研究成果不断融入到安华金和现有系列产品中,升级完善产品,持续提升客户交付能力。dbsec labs通过整合自身对数据库漏洞及数据库攻击技术的全部研究成果,独家设计研发出一套专业、高效、可靠的数据库漏洞验证工具——支持多种主流数据库类型、20 数据库版本以及100 漏洞的验证;漏洞类型更涵盖算法破解、监听劫持、缓冲区溢出、sql注入、静态注入、符号链接、反序列化等;并支持渗透模块与脚本免杀。