安全威胁 | 描述 | |
1 | 授权误用(Misuses of Authority) | ①合法用户越权获得不应该获得的资源,窃取程序或存储介质,修改或破坏数据 ②授权用户将自身访问特权不适当地授予其他用户,导致系统安全策略受到威胁,使用户数据泄露 |
2 | 逻辑推断和汇聚(Logical Inference and Aggregation) | ①逻辑推理:不太敏感数据(结合)→敏感信息 ②数据汇聚:个别不敏感数据(汇集)→敏感数据集 |
3 | 伪装(Masquerade) | 攻击者假冒用户身份获取数据库系统的访问权限。 |
4 | 旁路控制(Bypassing Controls) | 通过数据库后门,绕过数据库系统安全访问控制机制 |
5 | 隐蔽信道(Covert Channels) | 利用非正常通信途径传输数据以躲避数据库安全机制的控制,如共享内存、临时文件 |
6 | SQL注入攻击(SQL Injection) | 【严重】攻击者利用数据库应用程序的输入未进行安全检查的漏洞,欺骗数据库服务器执行恶意SQL命令 |
7 | 数据库口令密码破解 | 利用口令字典或手动猜测数据库用户密码,达到非授权防问数据库系统的目的 撞库:通过收集网络上已泄露的用户+口令密码信息,生成对应的字典表,并尝试批量登录 |
8 | 硬件及介质攻击 | 对数据库系统相关的设备和存储介质的物理攻击 |