当前位置:社区首页 >> IT 数码 >> IT前沿 >> 看帖 繁体 新手上路 | 网站地图 | 个人设置 | 注册 | 登陆

主题:黑客新手法 甲骨文数据库遭受攻击
  牧童平方 发表于:07-09-25 08:35 http://club.lc1001.com/articlePage/31103/index.html 复制网址 楼主  
一种新攻击技巧可能让常见于甲骨文数据库软件的瑕疵风险性大增,安全研究人员警告。

过去一般认为攻击者需要取得数据库上的高端权限才能执行所谓的

PL SQL injection弱点攻击。不过NGS Software信息安全专家David Litchfield上周四在Black Hat DC大会上说,那可不见得。

“攻击者只要具备最低权限,就可以用这种技俩全权控制数据库服务器,”Litchfield在接受访问时说到。“你可以用它来入侵一堆你过去以为不重要的弱点。”

长期研究甲骨文(Oracle)的Litchfied在上周公布的报告中称呼这种技巧为“cursor injection”而使用该技俩的攻击程序也已出现,Litchfield说。

甲骨文也发出声明稿指出,该公司已注意到新的攻击手法。

“NGS Software的《Cursor Injection》报告指出新手法可能协助攻击者入侵SQL injection的弱点,”数据库软件大厂说。甲骨文已提醒客户安装防范的补丁程序。

过去PL SQL injection瑕疵都要求具备数据库上的“制作程序(create procedure)”的权限,这种权限只有少部份使用者才有。而使用cursor injection手法,任何人只要连上数据库就可以发动攻击,Litchfield说。

“它是把预先编译(compile)好的cursor注入有瑕疵的PL SQL对象中以遂攻击目的,”Litchfield在报告中指出。“本研究目的在显示所有SQL injection瑕疵都只要create session的权限就可以加以入侵。”

未来甲骨文不应再让权限要求成为延后修补PL SQL瑕疵的因素,Litchfield说。甲骨文的客户可能因延宕安装修补程序而身陷危险之中,他说。“规避修补该瑕疵的借口已经没有了,”Litchfield说。

甲骨文几年来常和安全研究人员发生争执,不过现在已改过向善,愿意诚实面对产品安全流程的问题。一月甲骨文开始为季度补丁程序发出事前通知。去年十月,该公司首度在通报中加入严重性等级。


引用   回复   编辑   自荐   同意   反对   向上   底部  
 泯灭如梦 发表于:07-09-25 20:11第2楼  
看不懂

 『蹤£影』 发表于:07-09-25 21:34第3楼  

过去PL SQL injection瑕疵都要求具备数据库上的“制作程序(create procedure)”的权限,这种权限只有少部份使用者才有。而使用cursor injection手法,任何人只要连上数据库就可以发动攻击

真的??????对“cursor injection”有点兴趣了


 亂魂て煌 发表于:07-09-26 01:04第4楼  
............

 cain 发表于:07-09-26 09:27第5楼  
sigh.........oracle

 小坏 发表于:07-09-26 11:08第6楼  

甲骨文的老大比较有钱


 enen2007 发表于:07-09-26 11:31第7楼  
黑客真有前途啊

 隨ぞ繧お縹ぷ 发表于:07-10-01 14:53第8楼  
--- 本人同意 第2楼 泯灭如梦 的观点 送她(他)一朵鲜花! ---
看不懂

 云中¥漫步 发表于:07-10-05 15:41第9楼  

这东西看不懂啊!`


 ∟弔⒊者? 发表于:07-10-22 03:40第10楼  

不知道他在说什么!


 雪夜寒 发表于:07-11-07 12:05第11楼  

 我的爱无处不在 发表于:07-11-08 23:34第12楼  
同意

 kellywoo 发表于:07-11-10 13:14第13楼  
不懂

 kellywoo 发表于:07-11-10 13:16第14楼  
顶一下

 kellywoo 发表于:07-11-10 13:16第15楼  
顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶多的顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶

 kellywoo 发表于:07-11-10 13:17第16楼  
飘走

 kellywoo 发表于:07-11-10 13:18第17楼  
o(∩_∩)o...

 小小小丫头 发表于:07-11-10 21:28第18楼  

随便看看


 怯水的孩子 发表于:07-11-28 05:28第19楼  

 麻仓叶 发表于:07-12-05 10:32第20楼  
- -

 懶蟲Gary 发表于:07-12-16 18:15第21楼  
顶!
我顶!
我再顶!
我用力顶!
我很用力顶!
我非常用力顶!
我用尽全力去顶!
就算鞋子烂也要顶!
就算腾讯倒闭也要顶!
就算天塌下来我都要顶!
要是天真塌下来了继续顶!
要是地面凹了我不管继续顶!
要是踩到我脚骨折我也继续顶!
要是别人见了骂我傻我还是要顶!
要是警察敢过来阻止我就更加要顶!
要是你看我不爽我没办法还要继续顶!
要是你觉得敢兴趣你也可以过来一起顶!
顶到地下水喷发造成洪灾损失惨重我也顶!
顶到益阳地震山崩地裂地下水泛滥我还要顶!
顶到火山喷发太平洋海啸我还要继续往死里顶!
顶到阎罗王说我制造噪音我刁根烟看看他继续顶!
顶到日天昏地暗惊天地泣鬼神我不管我还要继续顶!
顶到刚刚重建好的伊拉克房屋又倒塌了我不管还要顶!
顶到日本岛所有导弹由于震波影响而突然自爆我还要顶!
顶到正在坐飞机去日本嫖娼的水扁大哥坠机身亡我还要顶!

 八日草 发表于:07-12-22 10:22第22楼  
路过,发帖的都支持,加油,我顶!

 rèn。巳陌玍 发表于:07-12-27 03:06第23楼  
--- 此处引用 第22楼 八日草 的观点 ---
路过,发帖的都支持,加油,我顶!

 懶蟲Gary 发表于:08-01-08 20:15第24楼  
顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶

 戀噯angle 发表于:08-01-18 23:33第25楼  

 蝶翼 发表于:08-02-02 03:22第26楼  
混乱

 wangningxf 发表于:08-07-24 10:39第27楼  

 单恋甜品 发表于:08-07-30 11:43第28楼  
..路过
...飘过
....游过
.....看过
......踩过
.......会过
......走过
.....路过
....飘过
...游过
..看过
.踩过
.走过
..路过
〃飘过′`)
  , ′ , ′`)
 ( , ′  ( * 〃′`)
        拿分  , ′ , ′`)
           ( , ′ ( 闪人*

 蝶恋桃花 发表于:08-08-15 16:35第29楼