常見數(shù)據(jù)庫漏洞
2020年08月20日
1.部署問題
這就是數(shù)據(jù)庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。數(shù)據(jù)庫經(jīng)過廣泛測試以確保能勝任應(yīng)該做的所有工作���,但有幾家公司肯花時間保證數(shù)據(jù)庫不干點兒什么不應(yīng)該干的事兒呢?
解決辦法:這個問題的解決辦法十分明顯:部署前做更多的測試����,找出可被攻擊者利用的非預(yù)期操作����。
2.離線服務(wù)器數(shù)據(jù)泄露
公司數(shù)據(jù)庫可能會托管在不接入互聯(lián)網(wǎng)的服務(wù)器上,但這并不意味著對基于互聯(lián)網(wǎng)的威脅完全免疫���。無論有沒有互聯(lián)網(wǎng)連接����,數(shù)據(jù)庫都有可供黑客切入的網(wǎng)絡(luò)接口����。
解決辦法:首先���,將數(shù)據(jù)庫服務(wù)器當(dāng)成聯(lián)網(wǎng)服務(wù)器一樣看待,做好相應(yīng)的安全防護(hù)�����。其次�,用SSL或TSL加密通信平臺加密其上數(shù)據(jù)。
3.錯誤配置的數(shù)據(jù)庫
有太多太多的數(shù)據(jù)庫都是被老舊未補(bǔ)的漏洞或默認(rèn)賬戶配置參數(shù)出賣的�。個中原因可能是管理員手頭工作太多忙不過來,或者因為業(yè)務(wù)關(guān)鍵系統(tǒng)實在承受不住停機(jī)檢查數(shù)據(jù)庫的損失����。無論原因為何,結(jié)果就是這么令人唏噓���。
解決辦法:在整個公司中樹立起數(shù)據(jù)庫安全是首要任務(wù)的氛圍�����,讓數(shù)據(jù)庫管理員有底氣去花時間恰當(dāng)配置和修復(fù)數(shù)據(jù)庫。
4.SQL注入
SQL注入不僅僅是最常見的數(shù)據(jù)庫漏洞�,還是開放網(wǎng)頁應(yīng)用安全計劃(OWASP)應(yīng)用安全威脅列表上的頭號威脅��。該漏洞可使攻擊者將SQL查詢注入到數(shù)據(jù)庫中����,達(dá)成讀取敏感數(shù)據(jù)�、修改數(shù)據(jù)、執(zhí)行管理操作乃至向操作系統(tǒng)發(fā)出指令等目的���。
解決辦法:開發(fā)過程中����,對輸入變量進(jìn)行SQL注入測試�����。開發(fā)完成后�,用防火墻保護(hù)好面向Web的數(shù)據(jù)庫。
5.權(quán)限問題
涉及訪問權(quán)限�,數(shù)據(jù)庫面臨兩大主要問題:
員工被賦予超出工作所需的過多權(quán)限;
合法權(quán)限被未授權(quán)或惡意使用。
解決辦法:權(quán)限分發(fā)時遵循最小權(quán)限原則�,僅給員工賦予完成工作所需最小權(quán)限。數(shù)據(jù)庫訪問也要受到嚴(yán)格監(jiān)視����,確保員工權(quán)限僅用于經(jīng)授權(quán)的操作��。員工離職時需立即撤銷分發(fā)給他/她的權(quán)限�。
6.存檔數(shù)據(jù)
與上一條相關(guān)�,無論出于報復(fù)還是利益,員工通過盜取數(shù)據(jù)庫備份獲得大量個人資料的事屢見不鮮�����。
解決辦法:加密存檔數(shù)據(jù)����,嚴(yán)密監(jiān)視存檔數(shù)據(jù)訪問和使用情況,可以大幅減少內(nèi)部人威脅�。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
