讓攻擊者輕鬆入侵數據庫的七個不良習慣

很差的數據庫安全習慣給攻擊者和惡意內部人員大開了方便之門，數據泄漏事故的發生每每是由於企業一遍又一遍重複一樣的錯誤，而這些不良行爲一般是從數據庫開始的。本文爲你們分析了讓攻擊者和惡意內部人員輕鬆獲取數據庫訪問權的七個不良習慣，但願你們引覺得戒！

　　1. 數據庫未及時修復漏洞

　　數據庫管理員擔憂修復最新漏洞會影響功能，可是卻不擔憂修復週期無限期拖延會讓最業餘的攻擊者都可以竊取大量數據。

　　「一些大漏洞會在每一個補丁中進行修復，而利用代碼也老是能夠在網上找到，攻擊者能夠剪切粘貼來用於攻擊，」Application Security公司的首席技術官Josh Shaul表示。

　　2. 沒有尋找流氓數據庫

　　對於你不知道的數據庫，你沒法確保其安全，Fortinet公司產品營銷副總裁Patrick Bedwell表示，他常常發現客戶不會保持他們數據庫的庫存，或者掃描流氓數據庫，這是一個問題，由於確實存在流氓數據庫。

　　「常見的作法試安裝小型footprint數據庫，並在數據庫中裝滿供開發和測試使用的生產數據，」Bedwell表示。

　　攻擊者很喜歡企業不追蹤流氓數據庫，由於這些數據庫一般都是沒打補丁的，大門敞開的，由於安全團隊並無注意它們。

　　3. 給予過多特權

　　當時間很緊急，資源有限時，企業很容易忽略用戶的權限，可能只是將特權給予整個用戶羣，而後去忙別的事情了，Imperva公司高級安全策略師Noa Bar Yosef表示。可是隻要一個用戶濫用這些特權就可能形成巨大的問題。

　　「考慮Diablo Valley社區學院的狀況，三年以來，他們都讓數據庫管理員修改學生的成績，」她表示，「當數據泄漏曝光後，他們發如今授予數據庫管理員權限的100名用戶中，只有11名用戶真正須要這個權限。」

　　給予過多權限的問題在於，用戶不只能夠作他們不該該作的事情，並且他們不會受到制裁，由於那些行爲並無被預料，Application Security公司的研究部門經理Alex Rothacker表示。

　　「給予過多權限的側面影響在於，用戶能夠在他們沒有受權的數據庫或者操做系統進行操做，」他表示，「例如，在應付賬款部門具備特權的用戶能夠創造一個虛假的公司，向這個公司支付費用，而後刪除全部關於該公司的記錄以掩蓋他們的蹤影。」

　　4. 容許使用默認用戶名/密碼

　　使用默認用戶名和密碼就像爲數據庫盜賊敞開大門同樣。可是不少公司仍然這樣作，由於不少應用程序輸入數據庫信息都是與默認賬戶同步的，更改密碼可能會破壞某些東西。

　　5. 沒有自我檢查

　　仔細檢查你的用戶在作什麼，數據庫是如何被使用的，數據庫容易受到哪一種類型的攻擊等。

　　然而大部分安全專家贊成，大多數企業沒有監測用戶或者審計數據庫行爲，由於他們並不擔憂會受到行爲。

　　「這是一個不能停歇的戰鬥，安全專業人士須要依賴於審計和數據庫管理員，同時又須要更好的性能。在爲客戶提供服務方面，性能一般排在第一位，」Imperva公司的Bar Yosef表示，「可是最後，或者說發生數據泄漏的時候，他們纔會知道發現、恢復和問責制的重要性。」

　　根據安全諮詢公司Brainlink公司首席技術官Rajesh Goel表示，不少公司還會否認安全評估或者滲透測試人員將數據庫放在攻擊考慮範圍內，即使這是惡意攻擊者最早瞄準的目標。

　　6. 容許任意互聯網鏈接和輸入

　　當數據庫鏈接到互聯網時，任意客戶端均可以不受限制地訪問數據庫，這樣的話，很差的事情也將發生。

　　「這意味着SQL注入攻擊將形成毀滅性影響，將泄漏任意數據，」Arbor Networks公司安全研究高級經理Jose Nazario表示，「將權利和角色分開還有很長一段路要走，可使用只讀角色來用於web服務。」

　　一樣的，用戶輸入須要被監測以防止注入和拒絕服務攻擊，而且不受新人的用戶應該永遠不能過直接查詢表格或者數據庫對象名稱，例如表格、函數或者視圖。

　　7.沒有加密

　　根據403 Web Security公司首席執行官Alan Wlasuk表示，最簡單最愚蠢的數據庫安全錯誤就是沒有加密他們的數據庫。 

　　「這樣就能讓攻擊者最終進入你的數據庫，攻擊者很難進入加密的數據庫，加密是免費、快速和易於使用的。」