| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

数据库

数据库
邮件服务
Linux
Win9x/ME
Win2000/NT
WinXP/Server

本类阅读TOP10

·5种修改MySql的用户密码的方法
·九大数据库特点比较
·远程连接access数据库的方法
·浅谈数据库设计技巧(上)
·MySQL和Postgres的比较
·SQL Server存储图像数据的策略与方法
·安装Oracle服务器
·浅谈数据库设计技巧(下)
·Sql server中时间查询的一个比较快的语句
·无组件上传图片到数据库中,最完整解决方案

站内搜索

一个容易忽视的Oracle安全问题
数据库安全问题一直是人们关注的焦点之一,我们知道一个企业或者机构的数据库如果遭到黑客的攻击,而这些数据库又保存着非常重要的数据,象银行、通信等数据库,后果将不堪设想。Oracle数据库使用了多种手段来保证数据库的安全性,如密码,角色,权限等等。

  作为Oracle的数据库管理员都知道,数据库系统典型安装后,一般sys和system以及internal这三个用户具有默认的口令,数据库安装成功后,系统管理员作的第一件工作就是修改这些用户的口令,保证数据库的安全性。然而,众多管理员往往忽视了其中的一个安全问题,下面我们就将详细讨论这个问题。

  Oracle数据库系统如果采用典型安装后,除了创建前面介绍的几个用户外,另外还自动创建了一个叫做DBSNMP的用户,该用户负责运行Oracle系统的智能代理(Intelligent Agent),该用户的缺省密码也是“DBSNMP”。如果忘记修改该用户的口令,任何人都可以通过该用户存取数据库系统。现在我们来看一下该用户具有哪些权限和角色,然后来分析一下该用户对数据库系统可能造成的损失。

  启动SQL/PLUS程序,使用该用户登录进入:

.
  SQL> select * from session_privs;
CREATE SESSION
ALTER SESSION
UNLIMITED TABLESPACE
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE PUBLIC SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE DATABASE LINK
CREATE PROCEDURE
CREATE TRIGGER
ANALYZE ANY
CREATE TYPE
CREATE OPERATOR
CREATE INDEXTYPE  

  可以看到该用户不是SYS或SYSTEM管理用户,然而,它却具有两个系统级权限:UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM。

  看到这两个权限你应该马上想到,这些都是安全隐患,尤其是UNLIMITED TABLESPACE,它是破坏数据库系统的攻击点之一。如果这时候你还依然认为,即使有人利用这个没有修改的口令登录进数据库也造成不了什么损失的话,我就不得不提醒你:该用户具有UNLIMITED TABLESPACE的系统权限,它可以写一个小的脚本,然后恶意将系统用垃圾数据填满,这样数据库系统也就无法运行,并将直接导致最终的瘫痪。目前很多数据库系统都要求7X24的工作,如果出现了系统用垃圾数据填满的情况,那么,等数据库系统恢复时,恐怕不可挽回的损失已经造成了。

  为了保证Oracle数据库系统运行的绝对安全,强烈建议数据库管理员修改该用户的默认口令,不要为不怀好意的人留下“方便之门”。




相关文章
  • 为什么要担心无线安全性
  • DDOS与DDOS追踪的介绍
  • 日志文件分析技巧
  • 一个号码可以让你取消手机的任何服务项目
  • 如何巧妙提取CHM文档中的GIF文件
  • 网际快车FlashGet使用技巧荟萃
  • UNICODE、DBCS的一点小知识
  • ASP下载系统防盗链方法
  • 全面了解系统中 svchost.exe 文件
  • 四个方面谈Win 2000的安全设置
  • ipc$详细解释大全
  • ipc$详细解释大全(2)
  • ipc$详细解释大全(3)
  • ipc$详细解释大全(4)
  • ipc$详细解释大全(5)
  • ipc$详细解释大全(6)
  • ipc$详细解释大全(7)
  • ipc$详细解释大全(8)
  • 教你如何修改文件日期
  • QoS 机制及其互操作性简述
  • 相关软件

  • 突破屏保密码安全漏洞的源程序  
  • 口今管理器 for IIS,外国人的安全  
  • 封装了NT下底层安全功能的类  
  • 电脑安全卫士  
  • 关于windows nt安全性的程序  

  • 下载首页关于我们广告服务联系方式常见问题隐私声明法律条款本站声明下载帮助发布软件站点地图谷歌卫星地图