研究人員發(fā)現(xiàn)攻擊Oracle數(shù)據(jù)庫的新方法
來源:易賢網(wǎng) 閱讀:1063 次 日期:2015-10-10 15:01:32
溫馨提示:易賢網(wǎng)小編為您整理了“研究人員發(fā)現(xiàn)攻擊Oracle數(shù)據(jù)庫的新方法”,方便廣大網(wǎng)友查閱!

2008年4月25日,據(jù)國外媒體報道,安全研究人員公布了一種能使黑客攻擊Oracle數(shù)據(jù)庫的新方法。

該研究人員稱,為了能夠改變或刪除數(shù)據(jù),甚至安裝軟件,這種稱為側(cè)面SQL注入的攻擊可被用于獲取Oracle服務(wù)器上數(shù)據(jù)庫管理員的特權(quán)。這位研究人員在2月份的Black Hat Washington大會上也曾透露了這種攻擊,但在本星期四他發(fā)表了一篇帶有這種攻擊技術(shù)細節(jié)的一篇論文。

在一次SQL注入攻擊中,黑客們能夠創(chuàng)建專門偽造的搜索詞語,這種詞語可欺騙數(shù)據(jù)庫運行SQL命令。以前,安全專家們認為只有攻擊者將字符串輸入到數(shù)據(jù)庫中,SQL 注入式攻擊才能工作,但是新型的攻擊可以通過被稱為日期型和數(shù)字型的新數(shù)據(jù)類型實現(xiàn)。

新型攻擊針對的是由Oracle開發(fā)人員所使用的過程語言或SQL編程語言。

據(jù)了解,該安全研究人員是一位著名的數(shù)據(jù)庫黑客,他主要被認為是著名的研究人員,他曾公布了用于2003 SQL Slammer蠕蟲的漏洞細節(jié),這種蠕蟲針對的是微軟的SQL Server數(shù)據(jù)庫。他認為這種側(cè)面SQL注入式攻擊能夠在某些情況下引起真正的破壞。

“如果你碰巧正使用Oracle,而且你在上面編寫自己的應(yīng)用程序,那么,你可能正在編寫易受攻擊的代碼,”他說。他認為數(shù)據(jù)庫的程序設(shè)計人員應(yīng)當檢查他們的代碼,以確保其代碼能夠檢查并保障它所處理的數(shù)據(jù)是合法的,不應(yīng)當是可被注入的SQL命令。

對此新型攻擊,Oracle并沒有任何官方回復(fù)。

更多信息請查看IT技術(shù)專欄

更多信息請查看數(shù)據(jù)庫
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇剩?/div>

2025國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機號
  • 驗證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 加入群交流 | 手機站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號:hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)