安全研究专家发现访问Oracle数据库的新攻击方法

【IT专家网独家】上周，安全研究专家David Litchfield发现了一种能让黑客访问Oracle数据库的新攻击方法，并发表了关于这个新攻击类型的技术细节。这种新的攻击方法被称为侧面SQL注入（lateral SQL injection），利用这个方法能够非法获取Oracle服务器上的数据库管理员权限，这样就可以修改或删除数据库的数据，甚至还可以在服务器上安装软件。 Litchfield在二月的黑客大会上首次披露了这种类型的攻击，并在上周四发表了一篇文章里详细讲述了关于这种工具的技术细节问题。在SQL注入攻击中，攻击者往往会巧妙地设计一些搜索条件，骗过数据库运行非法的SQL指令。在此之前，安全专家都一直认为SQL注入只有在攻击者将字符型字符串输入到数据库的情况下才会生效，但Litchfield在文章中展示了用新的日期和数字数据类型也能进行SQL注入攻击。这种攻击的目标编程语言是广为Oracle开发人员所使用的Procedural语言和SQL语言。 Litchfield并不确定这种侧面SQL攻击漏洞是否广泛存在，不过他认为这种攻击有可能会在某些情况下引发严重的损害。如果你正好使用的是Oracle数据库，而且你在数据库上编写了自己的应用程序，那么你可能会编写进了带有漏洞的代码。虽然这不是什么可以让天塌下来的大事，不过大家都应当对此有所警觉。数据库程序员应当检查他们的代码，确保所有对于数据的处理都是合法的而不是注入的SQL指令。 Oracle目前还没有对此发表任何回应性的评论。（来源:IT专家网）唯病毒难养的Linux系统Linux系统下删除U盘顽固病毒相关资讯 Oracle数据库

Oracle数据库全球化（03月01日）
Oracle数据库日期过滤方法性能比较（02/02/2015 13:20:26）
Oracle数据库安装中端口被占用问题（10/29/2014 07:42:24）

在CentOS 6.6上搭建C++运行环境并（10/10/2015 19:44:40）
Oracle数据库无法使用localhost和（11/14/2014 16:39:10）
Oracle 多数据库的数据同时更新（06/16/2014 21:52:23）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容