本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,幫助提高保護資料庫安全的意識。
不好的資料庫安全習慣給攻擊者和惡意內部人員大開了方便之門,資料洩漏事故的發生往往是因為企業一遍又一遍重複同樣的錯誤,而這些不良行為通常是從資料庫開始的。本文為大家分析了讓攻擊者和惡意內部人員輕鬆獲取資料庫訪問權的七個不良習慣,希望大家引以為戒!
2. 沒有尋找流氓資料庫
對於你不知道的資料庫,你無法確保其安全,fortinet公司產品營銷副總裁patrick bedwell表示,他經常發現客戶不會保持他們資料庫的庫存,或者掃瞄流氓資料庫,這是乙個問題,因為確實存在流氓資料庫。
「常見的做法試安裝小型footprint資料庫,並在資料庫中裝滿供開發和測試使用的生產資料,」bedwell表示。
攻擊者很喜歡企業不追蹤流氓資料庫,因為這些資料庫通常都是沒打補丁的,大門敞開的,因為安全團隊並沒有注意它們。
3. 給予過多特權
當時間很緊急,資源有限時,企業很容易忽略使用者的許可權,可能只是將特權給予整個使用者群,然後去忙別的事情了,imperva公司高階安全策略師noa bar yosef表示。但是只要乙個使用者濫用這些特權就可能造成巨大的問題。
「考慮diablo valley社群學院的情況,三年以來,他們都讓資料庫管理員修改學生的成績,」她表示,「當資料洩漏**後,他們發現在授予資料庫管理員許可權的100名使用者中,只有11名使用者真正需要這個許可權。」
「給予過多許可權的側面影響在於,使用者可以在他們沒有授權的資料庫或者作業系統進行操作,」他表示,「例如,在應付帳款部門具有特權的使用者可以創造乙個虛假的公司,向這個公司支付費用,然後刪除所有關於該公司的記錄以掩蓋他們的蹤跡。」
4. 允許使用預設使用者名稱/密碼
使用預設使用者名稱和密碼就像為資料庫盜賊敞開大門一樣。但是很多公司仍然這樣做,因為很多應用程式輸入資料庫資訊都是與預設帳戶同步的,更改密碼可能會破壞某些東西。
5. 沒有自我檢查
仔細檢查你的使用者在做什麼,資料庫是如何被使用的,資料庫容易受到哪種型別的攻擊等。
然而大部分安全專家同意,大多數企業沒有監測使用者或者審計資料庫行為,因為他們並不擔心會受到行為。
「這是乙個不能停歇的戰鬥,安全專業人士需要依賴於審計和資料庫管理員,同時又需要更好的效能。在為客戶提供服務方面,效能通常排在第一位,」imperva公司的bar yosef表示,「但是最後,或者說發生資料洩漏的時候,他們才會知道發現、恢復和問責制的重要性。」
根據安全諮詢公司brainlink公司首席技術官rajesh goel表示,很多公司還會否定安全評估或者滲透測試人員將資料庫放在攻擊考慮範圍內,即便這是惡意攻擊者最先瞄準的目標。
6. 允許任意網際網路連線和輸入
當資料庫連線到網際網路時,任意客戶端都可以不受限制地訪問資料庫,這樣的話,不好的事情也將發生。
「這意味著sql注入攻擊將造成毀滅性影響,將洩漏任意資料,」arbor networks公司安全研究高階經理jose nazario表示,「將權利和角色分開還有很長一段路要走,可以使用唯讀角色來用於web服務。」
同樣的,使用者輸入需要被監測以防止注入和拒絕服務攻擊,並且不受新人的使用者應該永遠不能過直接查詢**或者資料庫物件名稱,例如**、函式或者檢視。
7. 沒有加密
根據403 web security公司首席執行官alan wlasuk表示,最簡單最愚蠢的資料庫安全錯誤就是沒有加密他們的資料庫。
「這樣就能讓攻擊者最終進入你的資料庫,攻擊者很難進入加密的資料庫,加密是必須的、快速和易於使用的。」
5個不良習慣,導致搜尋引擎低排位
然而,應該怎樣去解決這樣的問題 爭取你的努力成果,贏得乙個好的排名呢?無可置疑,那就是優化你的站點。在網上,甚至書店,你會看到相當多的關於怎樣優化的書或文章。然而,事實上,這些說的都有自己的道理,如果你沒時間的話,那些話甚至都是浪費你時間的東西。你要的的最重要的一點,是避免讓你的文章,使你失去乙個好...
七個好習慣
1 凡事都有兩面性,你若想做成,你就能找到千百種方法,如若不想做,也能找到千百個理由。3 專注自己能夠影響的事情,擁抱自己不能改變的事情 這樣能更快速地獲得成就感,有乙個好心情。1 以10年後的自己指導今天的行動。如果你在為要不要做某事而糾結時,不妨考慮下這是10年之後的自己想要的嗎?沒有任何一件事...
糾正5個不良習慣防頸椎病
隨著生活節奏的加快,不少白領和低頭族也成為了頸椎病的患者。要如何遠離頸椎病,日常生活中要糾正以下不良習慣。第一步換枕頭 從源遠流長的警枕 藥枕 玉石枕 茶葉枕,到現代的磁枕 頸椎修復枕等,枕頭的革命每天都在進行,小小枕頭真如此重要?是的,枕頭不僅關乎睡眠質量,對於頸椎病患者或正遭受頸椎健康威脅的人群...