数据库安全审计是目前使用最为广泛的数据库安全技术,也正因此,用户对此项技术提出了更高的要求。影响审计结果准确性的因素有很多,其中对参数化语句的精确审计是其中一个难点。
前文中,我们以mysql5.5.5及以上的版本中一个典型安全漏洞为实例,介绍了用此漏洞进行非法越权执行,获取数据库root权限的攻击手法。事实上,拿到了数据库的root权限只是开始,通过运用mysql的本地读写权限,可以直接获取操作系统的密码,从而获得操作系统控制权限。
由于近年来,mysql的数据库安全漏洞数量逐年增加,安华金和数据库安全攻防实验室(dbsec labs)对mysql的漏洞加大了关注,本文将对mysql的一个典型漏洞进行技术分析,进一步说明数据库漏洞可能带来的安全威胁。
mysql数据库在国内的市场占有量仅次于oracle,排名第二。正因如此广泛的使用,mysql数据库被曝出的安全漏洞数量同样较高。安华金和2016年数据库漏洞报告中指出,从可统计的数据库安全漏洞分布情况来看,mysql的漏洞数量开始超越oracle,成为漏洞数量最多的数据库类型。
前文中,我们介绍了第一种漏洞攻击方式,即通过改变程序逻辑,跳过密码验证,获取数据库账户权限。本文我们将介绍另一种攻击方式:直接劫持程序,运行攻击代码。
我们将从2种角度讲解栈溢漏洞的攻击方式:1改变程序逻辑, 2.直接劫持程序运行攻击者的攻击代码。
前文中我们对数据库安全漏洞中最为常见的一种——缓冲区溢出漏洞进行了简单的概念介绍。在静态数据溢出、栈溢出和堆溢出三种类型中,栈溢出和堆溢出相对来说更复杂,且危害范围较大……
oracle最近发布了今年的第一批安全补丁,这一批补丁共计修复了270个漏洞,在数据库方面,在广泛使用的mysql数据库服务器中修补了27个漏洞,在oracle数据库服务器和相关组件中修补了5个漏洞。
在数据库面临的安全威胁中,数据库漏洞攻击和sql注入是两种最为常见的攻击手段,而在漏洞供给方面,危害性较大的一类是缓冲区溢出漏洞。
2016年3月8日,某电商平台的erp 系统遭到黑客攻击,事件中使用的sql注入攻击是数据库安全攻击中几乎最常见的sql注入。基于安华金和数据库安全攻防实验室的技术分析和模拟攻击过程还原……
试用申请
产品咨询:4000 258 365 