七个不良习惯导致攻击者轻松入侵数据库
不好的数据库安全习惯给攻击者和恶意内部人员大开了方便之门,数据泄漏事故的发生往往是因为企业一遍又一遍重复同样的错误,而这些不良行为通常是从数据库开始的。本文为大家分析了让攻击者和恶意内部人员轻松获取数据库访问权的七个不良习惯,希望大家引以为戒!
1. 数据库未及时修复漏洞
数据库管理员担心修复最新漏洞会影响功能,但是却不担心修复周期无限期拖延会让最业余的攻击者都能够窃取大量数据。
2. 没有寻找流氓数据库
对于你不知道的数据库,你无法确保其安全,Fortinet公司产品营销副总裁Patrick Bedwell表示,他经常发现客户不会保持他们数据库的库存,或者扫描流氓数据库,这是一个问题,因为确实存在流氓数据库。
攻击者很喜欢企业不追踪流氓数据库,因为这些数据库通常都是没打补丁的,大门敞开的,因为安全团队并没有注意它们。
3. 给予过多特权
当时间很紧急,资源有限时,企业很容易忽略用户的权限,可能只是将特权给予整个用户群,然后去忙别的事情了,Imperva公司高级安全策略师Noa Bar Yosef表示。但是只要一个用户滥用这些特权就可能造成巨大的问题。
“考虑Diablo Valley社区学院的情况,三年以来,他们都让数据库管理员修改学生的成绩,”她表示,“当数据泄漏曝光后,他们发现在授予数据库管理员权限的100名用户中,只有11名用户真正需要这个权限。”
给予过多权限的问题在于,用户不仅可以做他们不应该做的事情,而且他们不会受到制裁,因为那些行为并没有被预料,Application Security公司的研究部门经理Alex Rothacker表示。
“给予过多权限的侧面影响在于,用户可以在他们没有授权的数据库或者操作系统进行操作,”他表示,“例如,在应付帐款部门具有特权的用户可以创造一个虚假的公司,向这个公司支付费用,然后删除所有关于该公司的记录以掩盖他们的踪迹。”
4. 允许使用默认用户名/密码
使用默认用户名和密码就像为数据库盗贼敞开大门一样。但是很多公司仍然这样做,因为很多应用程序输入数据库信息都是与默认帐户同步的,更改密码可能会破坏某些东西。
5. 没有自我检查
仔细检查你的用户在做什么,数据库是如何被使用的,数据库容易受到哪种类型的攻击等。
然而大部分安全专家同意,大多数企业没有监测用户或者审计数据库行为,因为他们并不担心会受到行为。
“这是一个不能停歇的战斗,安全专业人士需要依赖于审计和数据库管理员,同时又需要更好的性能。在为客户提供服务方面,性能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最后,或者说发生数据泄漏的时候,他们才会知道发现、恢复和问责制的重要性。”
根据安全咨询公司Brainlink公司首席技术官Rajesh Goel表示,很多公司还会否定安全评估或者渗透测试人员将数据库放在攻击考虑范围内,即便这是恶意攻击者最先瞄准的目标。
6. 允许任意互联网连接和输入
当数据库连接到互联网时,任意客户端都可以不受限制地访问数据库,这样的话,不好的事情也将发生。
“这意味着SQL注入攻击将造成毁灭性影响,将泄漏任意数据,”Arbor Networks公司安全研究高级经理Jose Nazario表示,“将权利和角色分开还有很长一段路要走,可以使用只读角色来用于web服务。”
同样的,用户输入需要被监测以防止注入和拒绝服务攻击,并且不受新人的用户应该永远不能过直接查询表格或者数据库对象名称,例如表格、函数或者视图。
根据403 Web Security公司首席执行官Alan Wlasuk表示,最简单最愚蠢的数据库安全错误就是没有加密他们的数据库。
“这样就能让攻击者最终进入你的数据库,攻击者很难进入加密的数据库,加密是必须的、快速和易于使用的。”
七个不良习惯导致攻击者轻松入侵数据库相关推荐
- 高效人士的七个好习惯
七个习惯 ☆习惯一.主动积极 ☆习惯二.以终为始 ☆习惯三.要事第一 ☆习惯四.双赢思维 ☆习惯五.知己解彼 ☆习惯六.统合终效 ☆习惯七.不断更新 基本原则篇 ☆介绍 ☆持续成熟模式 ☆原则 ☆思维 ...
- 低效能人士的七个坏习惯
From http://www.mifengtd.cn/articles/7-habits-of-highly-ineffective-people.html 是否真有幸福并非取决于天性,而是取决于人 ...
- 阻碍你登上成功宝座的20大不良习惯
近年来企业自助书籍已成为出版业销路稳定的主要商品.在企业界,那些声称揭示企业成功秘笈的书籍自身也获得了巨大的成功,它们总是稳居销量排行榜的榜首位置,同时还成就了盖里·拉恩克(Gary Ranker). ...
- 前端工程师·的好习惯_质量检查工程师应避免的7个不良习惯
前端工程师·的好习惯 大多数人都同意软件质量很重要. 我们已经看到了各种情况下的错误软件的结果:从火星探测器故障和执行致命剂量辐射的化学治疗仪到经历级联故障的电信系统. 假设软件测试人员将是开发团队的 ...
- 质量检查工程师应避免的7个不良习惯
大多数人都认为软件质量很重要. 我们已经看到了在各种情况下的错误软件的结果:从火星探测器故障和执行致命剂量辐射的化学疗法机器到经历级联故障的电信系统. 假设软件测试人员将是开发团队的重要成员,这似乎是 ...
- IT人的好习惯和不良习惯总结
好习惯: 细节一:在电脑旁放上几盆植物,传说仙人掌可以有效地吸收辐射,但是会扎到人,而且有没效果也没科学根据,不推荐:其实只要是绿色植物就可以,植物可以让你多点氧气,保持头脑清醒. 细节二:操作电脑时 ...
- -克服不良习惯读后感
读了<自律>第八章-克服不良习惯,我的思想中隐隐对自己日常生活和工作做了简单的回顾和总结,我们日常生活和工作中是否对自己的不良习惯加以控制和克服了呢?是我们对我们日常生活和工作的不良习惯没 ...
- 人所共有的19个不良习惯
戈德史密斯总结了许多成功人士共有的不良习惯: 1.过于争强好胜. 2.增加过多的价值:也就是你总是情不自禁地修改同事或者下属已经很成熟的想法.成功人士很难做到耐心聆听其他人告诉他们一些自己已经知道的东 ...
- 十大不良习惯损害大脑
十大不良习惯损害大脑 1.长期饱食:导致脑动脉硬化.脑早衰和智力减退等现象. 2.轻视早餐:不吃早餐使人的血糖低于正常供给,对大脑的营养供应不足,久之对大脑有害. 3.甜食过量:甜食过量的儿童往往智商 ...
最新文章
- opencv3.2 在Ubuntu下的编译安装
- 程序兵法:Java String 源码的排序算法(一)
- 19行代码AC——例题 6-2 铁轨(Rails, UVa 514)——解题报告
- c语言全局变量和局部变量问题汇总
- mysql中where条件判断语句_MySQL Where 条件语句介绍和运算符小结
- 安装Quagga路由软件
- [安卓]AndroidManifest.xml文件简介及结构
- 通达OA CRM扫描枪条码录入
- 校园网下实验室的服务器如何实现远程登录
- 云计算:吹尽狂沙始到金
- Google guava之Multimap简介说明
- 慕课网-安卓攻城狮视频学习及练习(一)
- 关于Lisp的一己之见
- Exeinfo PE查壳工具
- CSS - 移动端布局(一)关键的前置知识
- 苹果沙盒服务器验证,我收到21004的状态值回复来自苹果的沙盒测试服务器自动再生订阅的IOS?(I'm gett...
- Doris安装(一)之docker编译+fe和be的配置与启动
- 550, b‘Requested action not taken: GTAi0gDXE+ZLSiRiE7TVAA--.6460S2, mail reject by CAC‘
- 运营商精准大数据获客 快速精准触达目标用户
- 2021年上海市集成电路和软件企业核心团队专项奖励的通知