东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

研究人员发现攻击oracle数据库新方法

2008年4月25日,据国外媒体报道,安全研究人员公布了一种能使黑客攻击oracle数据库的新方法。

该研究人员称,为了能够改变或删除数据,甚至安装软件,这种称为侧面sql注入的攻击可被用于获取oracle服务器上数据库管理员的特权。这位研究人员在2月份的black hat washington大会上也曾透露了这种攻击,但在本星期四他发表了一篇带有这种攻击技术细节的一篇论文。

在一次sql注入攻击中,黑客们能够创建专门伪造的搜索词语,这种词语可欺骗数据库运行sql命令。以前,安全专家们认为只有攻击者将字符串输入到数据库中,sql 注入式攻击才能工作,但是新型的攻击可以通过被称为日期型和数字型的新数据类型实现。

新型攻击针对的是由oracle开发人员所使用的过程语言或sql编程语言。

据了解,该安全研究人员是一位著名的数据库黑客,他主要被认为是著名的研究人员,他曾公布了用于2003 sql slammer蠕虫的漏洞细节,这种蠕虫针对的是微软的sql server数据库。他认为这种侧面sql注入式攻击能够在某些情况下引起真正的破坏。

“如果你碰巧正使用oracle,而且你在上面编写自己的应用程序,那么,你可能正在编写易受攻击的代码,”他说。他认为数据库的程序设计人员应当检查他们的代码,以确保其代码能够检查并保障它所处理的数据是合法的,不应当是可被注入的sql命令。

对此新型攻击,oracle并没有任何官方回复。

免费试用
下  载

网站地图