研究人員發(fā)現(xiàn)攻擊Oracle數(shù)據(jù)庫的新方法

來源：懂視網(wǎng) 責(zé)編：小采時間：2020-11-09 08:15:28

研究人員發(fā)現(xiàn)攻擊Oracle數(shù)據(jù)庫的新方法

研究人員發(fā)現(xiàn)攻擊Oracle數(shù)據(jù)庫的新方法:歡迎進(jìn)入Oracle社區(qū)論壇，與200萬技術(shù)人員互動交流 >>進(jìn)入上周，安全研究專家David Litchfield發(fā)現(xiàn)了一種能讓黑客訪問Oracle數(shù)據(jù)庫的新攻擊方法，并發(fā)表了關(guān)于這個新攻擊類型的技術(shù)細(xì)節(jié)。這種新的攻擊方法被稱為側(cè)面SQL注入（lateral SQL i

推薦度：

點(diǎn)擊下載本文 文檔為doc格式

導(dǎo)讀研究人員發(fā)現(xiàn)攻擊Oracle數(shù)據(jù)庫的新方法:歡迎進(jìn)入Oracle社區(qū)論壇，與200萬技術(shù)人員互動交流 >>進(jìn)入上周，安全研究專家David Litchfield發(fā)現(xiàn)了一種能讓黑客訪問Oracle數(shù)據(jù)庫的新攻擊方法，并發(fā)表了關(guān)于這個新攻擊類型的技術(shù)細(xì)節(jié)。這種新的攻擊方法被稱為側(cè)面SQL注入（lateral SQL i

歡迎進(jìn)入Oracle社區(qū)論壇，與200萬技術(shù)人員互動交流 >>進(jìn)入上周，安全研究專家David Litchfield發(fā)現(xiàn)了一種能讓黑客訪問Oracle數(shù)據(jù)庫的新攻擊方法，并發(fā)表了關(guān)于這個新攻擊類型的技術(shù)細(xì)節(jié)。這種新的攻擊方法被稱為側(cè)面SQL注入（lateral SQL injection），利

歡迎進(jìn)入Oracle社區(qū)論壇，與200萬技術(shù)人員互動交流 >>進(jìn)入

上周，安全研究專家David Litchfield發(fā)現(xiàn)了一種能讓黑客訪問Oracle數(shù)據(jù)庫的新攻擊方法，并發(fā)表了關(guān)于這個新攻擊類型的技術(shù)細(xì)節(jié)。

這種新的攻擊方法被稱為側(cè)面SQL注入（lateral SQL injection），利用這個方法能夠非法獲取Oracle服務(wù)器上的數(shù)據(jù)庫管理員權(quán)限，這樣就可以修改或刪除數(shù)據(jù)庫的數(shù)據(jù)，甚至還可以在服務(wù)器上安裝軟件。

Litchfield在二月的黑客大會上首次披露了這種類型的攻擊，并在上周四發(fā)表了一篇文章里詳細(xì)講述了關(guān)于這種工具的技術(shù)細(xì)節(jié)問題。

在SQL注入攻擊中，攻擊者往往會巧妙地設(shè)計(jì)一些搜索條件，騙過數(shù)據(jù)庫運(yùn)行非法的SQL指令。在此之前，安全專家都一直認(rèn)為SQL注入只有在攻擊者將字符型字符串輸入到數(shù)據(jù)庫的情況下才會生效，但Litchfield在文章中展示了用新的日期和數(shù)字?jǐn)?shù)據(jù)類型也能進(jìn)行SQL注入攻擊。這種攻擊的目標(biāo)編程語言是廣為Oracle開發(fā)人員所使用的Procedural語言和SQL語言。

Litchfield并不確定這種側(cè)面SQL攻擊漏洞是否廣泛存在，不過他認(rèn)為這種攻擊有可能會在某些情況下引發(fā)嚴(yán)重的損害。如果你正好使用的是Oracle數(shù)據(jù)庫，而且你在數(shù)據(jù)庫上編寫了自己的應(yīng)用程序，那么你可能會編寫進(jìn)了帶有漏洞的代碼。雖然這不是什么可以讓天塌下來的大事，不過大家都應(yīng)當(dāng)對此有所警覺。

數(shù)據(jù)庫程序員應(yīng)當(dāng)檢查他們的代碼，確保所有對于數(shù)據(jù)的處理都是合法的而不是注入的SQL指令。

Oracle目前還沒有對此發(fā)表任何回應(yīng)性的評論。