讓攻擊者輕松入侵數據庫的七個不良習慣
1. 數據庫未及時修復漏洞
數據庫管理員擔心修復最新漏洞會影響功能,但是卻不擔心修復周期無限期拖延會讓最業余的攻擊者都能夠竊取大量數據。
“一些大漏洞會在每個補丁中進行修復,而利用代碼也總是可以在網上找到,攻擊者可以剪切粘貼來用于攻擊,”Application Security公司的首席技術官Josh Shaul表示。
2. 沒有尋找流氓數據庫
對于你不知道的數據庫,你無法確保其安全,Fortinet公司產品營銷副總裁Patrick Bedwell表示,他經常發現客戶不會保持他們數據庫的庫存,或者掃描流氓數據庫,這是一個問題,因為確實存在流氓數據庫。
“常見的做法試安裝小型footprint數據庫,并在數據庫中裝滿供開發和測試使用的生產數據,”Bedwell表示。
攻擊者很喜歡企業不追蹤流氓數據庫,因為這些數據庫通常都是沒打補丁的,大門敞開的,因為安全團隊并沒有注意它們。
3. 給予過多特權
當時間很緊急,資源有限時,企業很容易忽略用戶的權限,可能只是將特權給予整個用戶群,然后去忙別的事情了,Imperva公司高級安全策略師Noa Bar Yosef表示。但是只要一個用戶濫用這些特權就可能造成巨大的問題。
“考慮Diablo Valley社區學院的情況,三年以來,他們都讓數據庫管理員修改學生的成績,”她表示,“當數據泄漏曝光后,他們發現在授予數據庫管理員權限的100名用戶中,只有11名用戶真正需要這個權限。”
給予過多權限的問題在于,用戶不僅可以做他們不應該做的事情,而且他們不會受到制裁,因為那些行為并沒有被預料,Application Security公司的研究部門經理Alex Rothacker表示。
“給予過多權限的側面影響在于,用戶可以在他們沒有授權的數據庫或者操作系統進行操作,”他表示,“例如,在應付帳款部門具有特權的用戶可以創造一個虛假的公司,向這個公司支付費用,然后刪除所有關于該公司的記錄以掩蓋他們的蹤跡。”
4. 允許使用默認用戶名/密碼
使用默認用戶名和密碼就像為數據庫盜賊敞開大門一樣。但是很多公司仍然這樣做,因為很多應用程序輸入數據庫信息都是與默認帳戶同步的,更改密碼可能會破壞某些東西。
5. 沒有自我檢查
仔細檢查你的用戶在做什么,數據庫是如何被使用的,數據庫容易受到哪種類型的攻擊等。
然而大部分安全專家同意,大多數企業沒有監測用戶或者審計數據庫行為,因為他們并不擔心會受到行為。
“這是一個不能停歇的戰斗,安全專業人士需要依賴于審計和數據庫管理員,同時又需要更好的性能。在為客戶提供服務方面,性能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最后,或者說發生數據泄漏的時候,他們才會知道發現、恢復和問責制的重要性。”
根據安全咨詢公司Brainlink公司首席技術官Rajesh Goel表示,很多公司還會否定安全評估或者滲透測試人員將數據庫放在攻擊考慮范圍內,即便這是惡意攻擊者最先瞄準的目標。
6. 允許任意互聯網連接和輸入
當數據庫連接到互聯網時,任意客戶端都可以不受限制地訪問數據庫,這樣的話,不好的事情也將發生。
“這意味著SQL注入攻擊將造成毀滅性影響,將泄漏任意數據,”Arbor Networks公司安全研究高級經理Jose Nazario表示,“將權利和角色分開還有很長一段路要走,可以使用只讀角色來用于web服務。”
同樣的,用戶輸入需要被監測以防止注入和拒絕服務攻擊,并且不受新人的用戶應該永遠不能過直接查詢表格或者數據庫對象名稱,例如表格、函數或者視圖。
7.沒有加密
根據403 Web Security公司首席執行官Alan Wlasuk表示,最簡單最愚蠢的數據庫安全錯誤就是沒有加密他們的數據庫。
“這樣就能讓攻擊者最終進入你的數據庫,攻擊者很難進入加密的數據庫,加密是免費、快速和易于使用的。”
【編輯推薦】
