10个最容易见到的数据库缺点

BXC-SQLServer数据库对象对比工具V1.3绿色中文免费版种类：数据库类大小：594KB语言：中文 评分：7.7标签：立即下载10个最容易见到的数据库缺点

保护数据库不是一件容易的事情，不少企业，包含数据库管理员在内，都存在侥幸心理，但黑客针对数据库本身存在的缺点比较容易得逞，本文是Appsec的安全团队公布的10个最容易见到的数据库缺点，黑客常常借助它们发起攻击并得手，你，该引起注意了。

1、默认，空白和弱用户名/密码

假如你管理着数百甚至数千个数据库，要跟踪是不是在用默认，空白和弱用户名/密码是一个艰巨的任务，但消除默认，空白和弱用户名/密码是保护数据库的第一步，黑客会借助工具遍历这类用户名和密码，而且最恐惧的是连刚开始级的黑客也能黑掉你。

2、SQL注入

当你的数据库对提交的SQL语句未做消毒处置，黑客可以借助URL架构SQL注入代码，暴露你的数据库结构，甚至直接查看出用户登录凭据信息，进而有机会进行权限提高，虽然大部分数据库厂家都发布了有关补丁来预防SQL注入，但假如你的数据库刚好忘记打补丁，那它已经不是你了。

3、用户和组权限分配不当

在给用户和组分配权限，要确保分配适合，应根据最小特权原则进行分配，并应该遵循“权限–角色（或组）–用户”逐级分配的原则，防止直接将权限分配给用户，那样会增加管理困难程度。

4、开启非必须的数据库功能

数据库安装好后很多功能都是开启的，但通常来讲，大家只能用其中一小部分功能，假如你禁用或卸载那些不会用的功能，将会增加数据库被攻击的攻击面，禁用或卸载它们不禁降低了零日攻击风险，也简化了补丁管理，当这类功能需要打补丁时，你才不会限于慌乱。

5、残缺的配置管理

数据库给管理员提供了很多的配置参数，有调整性能的，有增强功能的，但有的配置从安全角度来看是需要小心处置的，尤其是不少默认配置就不安全，还有就是数据库官员为了图省事，喜欢走捷径，如将SQL Server数据库的sa用户开放给开发职员用。

6、缓冲区溢出

缓冲区溢出是黑客最喜欢干的事情，什么是缓冲区溢出呢，说直白一点就是，数据库能接收100个输入字符，但黑客传入了200或更多字符，导致数据库处置不了，但又缺少保护机制，这时就会导致缓冲区溢出，大家平时给数据库打的补丁大多数都是修复这种漏洞的，因此不要忘了给你的数据库打上最新的补丁。

7、权限提高

这也是黑客最喜欢干的事情，当他们获得一个低特权的用户控制权时，就会挖空心思提高账号的权限，终极目的就是获得管理员权限，一个容易见到的招数就是尝试实行是sysdba的函数，因此保护好管理员所属的函数和存储过程尤为重要，最好是逐个检查它们的权限分配状况，不要随便将它们分配给普通用户。

8、拒绝服务攻击

SQL Slammer过去让无数企业和数据库管理员头大，叫人们意识到原来数据库漏洞也可以被用来发起洪水流量攻击，虽然SQL Slammer是在2003出现的，并且数据库厂家早已推出了有关的补丁，但到了现在，仍然有很多的SQL Server数据库未打补丁。

9、未打补丁的数据库

我想你肯定感觉我有点罗嗦了，但我感觉值得再重复提一次，很多数据库管理员都未准时给数据库打补丁，由于他们害怕实行这个操作，担忧打补丁把数据库弄坏了，虽然这种担忧非常正常，但也不应该作为借口，再说，目前数据库厂家在发布补丁前都会经过严格的测试的，假如你实在担忧害怕，可以在实验环境中测试一下再应用到生产环境。

10、未加密的敏锐数据不管你的安全手段做得有多到位，都不要在数据库中以明文形式存储敏锐数据，除此之外，所有数据库连接都要全部加密。

TAG标签：SqlServer(1)

转载请说明来源于谷普下载站（https://www.muerya.com）

本文地址：https://www.muerya.com/news/925.html

郑重声明：文章来源于网络作为参考，本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权，请联系我们处理！邮箱3450399331@qq.com