這些漏洞存在的主要原因在于數(shù)據(jù)庫本身并沒有進(jìn)行全面安全防護(hù),并且服務(wù)器配置還需要數(shù)據(jù)庫管理員根據(jù)企業(yè)要求重新進(jìn)行配置。企業(yè)必須對(duì)數(shù)據(jù)庫進(jìn)行評(píng)估來確定某些功能是否真的必要,以及禁用那些不需要的功能來減少攻擊面。此外,企業(yè)必須對(duì)默認(rèn)設(shè)置或者較弱的登錄憑證時(shí)刻保持警惕,必須部署完善的特權(quán)和身份驗(yàn)證措施,最重要的是,企業(yè)需要定期修復(fù)補(bǔ)丁。在所發(fā)現(xiàn)的漏洞中,有將近一半的漏洞或直接或間接地與數(shù)據(jù)庫環(huán)境內(nèi)不適當(dāng)?shù)难a(bǔ)丁修復(fù)管理有關(guān)。這是很恐怖的概念:在前三個(gè)月補(bǔ)丁修復(fù)周期內(nèi),只有38%的管理員修復(fù)企業(yè)的Oracle數(shù)據(jù)庫,并且只有三分之一的管理員花費(fèi)一年或者更長(zhǎng)時(shí)間進(jìn)行修復(fù)。

1. 默認(rèn)、空白和強(qiáng)度弱的用戶名或者密碼

　　在一個(gè)企業(yè)中,跟蹤數(shù)百或者甚至數(shù)千個(gè)數(shù)據(jù)庫可能是很艱巨的任務(wù),但是刪除默認(rèn)、空白以及強(qiáng)度弱的登錄憑證將是完善數(shù)據(jù)庫安全非常重要的第一個(gè)步驟。攻擊者們總是將注意力放在這些默認(rèn)帳戶上,必要的時(shí)候就能派上用場(chǎng)。

2. SQL注入攻擊

　　SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多,但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊,相當(dāng)大一部分程序員在編寫代碼的時(shí)候,沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是所謂的SQL Injection,即SQL注入。

3.廣泛的用戶和組特權(quán)

　　企業(yè)必須確保沒有將特權(quán)給那些不必要的用戶。安全專家建議,只有將用戶設(shè)置為組或者角色的一部分,然后通過這些角色來管理權(quán)限,這樣將比向用戶分配直接權(quán)利要更加易于管理。

4.啟用不必要的數(shù)據(jù)庫功能

　　每個(gè)數(shù)據(jù)庫安裝都會(huì)附帶各種類型各種大小的功能,并且大部分都不會(huì)被企業(yè)所使用。數(shù)據(jù)庫安全意味著減少攻擊面,企業(yè)需要審查這些數(shù)據(jù)庫功能,找出不必要或者不使用的功能,然后禁用或者卸載它們。這不僅能夠降低通過這些載體發(fā)動(dòng)的零日攻擊的風(fēng)險(xiǎn),而且能夠簡(jiǎn)化補(bǔ)丁修復(fù)管理,因?yàn)檫@些不必要的功能也需要進(jìn)行補(bǔ)丁修復(fù)。

5.糟糕的配置管理

　　同樣地,數(shù)據(jù)庫有很多不同的配置可供選擇,正確合適的配置將能夠幫助數(shù)據(jù)庫管理員提高數(shù)據(jù)庫性能和加強(qiáng)數(shù)據(jù)庫功能。企業(yè)需要找出不安全的配置(默認(rèn)情況下為啟用狀態(tài)或者為了方便數(shù)據(jù)庫管理員或者應(yīng)用程序開發(fā)人員而開啟的),然后重新進(jìn)行配置。

6.緩沖區(qū)溢出

　　另一個(gè)攻擊者喜歡的漏洞就是緩沖區(qū)溢出漏洞,這個(gè)漏洞是這樣被利用的,即大量輸入比應(yīng)用程序預(yù)期更多的字符,例如向請(qǐng)求SSN的輸入框增加100個(gè)字符。數(shù)據(jù)庫供應(yīng)商都在積極努力地修復(fù)這個(gè)漏洞,以避免發(fā)生這樣的攻擊,這也是為什么補(bǔ)丁修復(fù)如此重要的另一個(gè)原因。

7. 特權(quán)升級(jí)

　　同樣的,數(shù)據(jù)庫常常出現(xiàn)這樣的漏洞,允許攻擊者對(duì)鮮為人知或者低權(quán)限帳號(hào)進(jìn)行權(quán)限升級(jí),然后獲取管理員權(quán)限。例如,攻擊者可能誤用sysdba下運(yùn)行的一個(gè)函數(shù)。   (服務(wù)器托管費(fèi)用)

8.拒絕服務(wù)攻擊　　

　　拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段之。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕?biāo)造成麻煩,使某些服務(wù)被暫停甚至主機(jī)死機(jī),都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決,究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。

9.未修復(fù)數(shù)據(jù)庫與未加密重要數(shù)據(jù)(靜態(tài)或者動(dòng)態(tài)狀態(tài))

　　這一點(diǎn)可能與上述漏洞有些重復(fù),但是這值得再次重復(fù)。很多數(shù)據(jù)庫管理員并沒有及時(shí)修復(fù)補(bǔ)丁,因?yàn)樗麄兒ε卵a(bǔ)丁修復(fù)程序?qū)��?huì)破壞他們的數(shù)據(jù)庫。但是現(xiàn)在,被攻擊的風(fēng)險(xiǎn)比安裝可能會(huì)破壞數(shù)據(jù)庫的補(bǔ)丁要高得多,而這在五年前可能并不是這樣,但是供應(yīng)商現(xiàn)在已經(jīng)更加嚴(yán)格的進(jìn)行測(cè)試。