系统隐患 | 说明 | 备注 | |
1 | 数据库用户账号和密码隐患 | 数据库提供基本安全功能,但没有机制限制用户必须选择健壮密码 大部分数据库系统有公开默认账号和密码 | ①Oracle内部密码(启动进程),存储在strXXX.cmd,默认为ORCL ②Oracle监听进程密码,存储在listener.ora(保存所有执行密码,用于启停进程),易受Dos攻击,需设置健壮密码并设置访问权限 ③Oracle的“orapw”文件(内部密码和账号密码允许SYSDBA角色保存)权限控制,易被暴力破解,应限制访问权限 |
2 | 扩展存储过程隐患 | 存储过程容易成为数据库系统的后门 | Sybase和SQL Server账号“sa”使用xp_cmdshell获得系统权限 |
3 | DBMS和应用程序漏洞 | 软件程序漏洞造成数据安全机制或OS安全机制失效,攻击者可以获取远程访问权限 | “黛蛇”(DasherB)蠕虫利用微软漏洞或SQL溢出工具发起攻击 |
4 | 权限分配隐患 | 数据库管理员分配用户权限过大 | 用户误删除数据或责泄露敏感数据 |
5 | 用户安全意识薄弱 | 用户选择弱口令或口令保管不当 | 留下历史记录,泄露操作人员的数据库密码 |
6 | 网络通信内容明文传输 | 利用数据库和应用程序之间网络通信内容未经加密漏洞 | 窃取诸如应用程序特定数据或数据库登录凭据等敏感数据 |
7 | 安全机制不健全 | 部分数据库不提供管理员账号重命名、登录时间限制、账号锁定功能 | SQL Server不能删除账号sa且空口令 Slammer Worm蠕虫(sa默认空口令) |