以前的Oracle
数据库有一个默认的用户名Scott,以及默认的口令tiger;而
微软的SQL Server的系统管理员账户的默认口令是也是众所周知。当然这些默认的登录对于
黑客来说尤其方便,借此他们可以轻松地进入
数据库。Oracle和其它主要的
数据库厂商在其新版本的产品中对其进行了弥补,它们不再让用户保持默认的和空的用户名及口令。但即使是唯一的、非默认的
数据库口令也是不安全的,通过
暴力破解就可以轻易地找到弱口令。
通常与
管理员错误的配置有关,如一个用户被误授予超过其实际需要的访问权限。另外,拥有一定访问权限的用户可以轻松地从一个应用程序跳转到
数据库,即使他并没有这个数据库的相关访问权限。
黑客只需要得到少量特权的用户口令,就可以进入了
数据库系统,然后访问读取数据库内的任何表,包括信用卡信息、个人信息。
当前,正在运行的多数Oracle
数据库中,有至少10到20个已知的漏洞,
黑客们可以用这些漏洞攻击进入数据库。虽然Oracle和其它的
数据库都为其漏洞做了补丁,但是很多用户并没有给他们的系统漏洞打补丁,因此这些漏洞常常成为黑客入侵的途径。
SQL注入攻击是
黑客对
数据库进行攻击的常用手段之一。随着
B/S模式应用开发的发展,使用这种模式编写应用程序的
程序员也越来越多。但是由于
程序员的水平及经验也参差不齐,相当大一部分程序员在编写
代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段
数据库查询
代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以市面的
防火墙都不会对SQL注入发出警报,如果管理员没查看
IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
5.窃取备份 如果备份硬盘在运输或仓储过程中被窃取,而这些磁带上的
数据库数据又没有加密的话,
黑客根本不需要接触网络就可以实施破坏了。通过窃取备份实施的攻击主要是由于
管理员对备份的介质疏于跟踪和记录,除了没有对备份介质上的数据进行加密等明显的预防措施,一些单位并没有一直将标签贴在其备份介质上。
6、ddos软件攻击
数据库多数表现为,cpu到100%连接数比较多、同时服务器一般都是可以登入。
黑客用傀儡肉鸡对数据库攻击的一种模式,大家可以通过软防,来防护这类攻击推荐使用
1.查找有
漏洞的参数。测试像%00.%27和%3b这样的基本SQL注入字符。检查错误,以识别SQL注入。
在处理WEB应用程序的
数据库部分时,应把它当做一个网络渗透测试的小环境,追踪,枚举,渗透,
提升权限和窃取数据。