黑客狙擊Oracle系統(tǒng)的八大常用套路
1.SQL注入攻擊
如今大部分的Oracle數(shù)據(jù)庫都具有為某種類型網(wǎng)絡(luò)應(yīng)用服務(wù)的后端數(shù)據(jù)存儲區(qū),網(wǎng)頁應(yīng)用使數(shù)據(jù)庫更容易成為我們的攻擊目標(biāo)體現(xiàn)在三個方面。其一,這些應(yīng)用界面非常復(fù)雜,具有多個組成成分,使數(shù)據(jù)庫管理員難以對它們進(jìn)行徹底檢查。其二,阻止程序員侵入的屏障很低,即便不是C語言的編程專家,也能夠?qū)σ恍╉撁孢M(jìn)行攻擊。下面我們會簡單地解釋為什么這對我們這么重要。第三個原因是優(yōu)先級的問題。網(wǎng)頁應(yīng)用一直處于發(fā)展的模式,所以他們在不斷變化,推陳出新。這樣安全問題就不是一個必須優(yōu)先考慮的問題。
SQL注入攻擊是一種很簡單的攻擊,在頁面表單里輸入信息,悄悄地加入一些特殊代碼,誘使應(yīng)用程序在數(shù)據(jù)庫里執(zhí)行這些代碼,并返回一些程序員沒有料到的結(jié)果。例如,有一份用戶登錄表格,要求輸入用戶名和密碼才能登錄,在用戶名這一欄,輸入以下代碼:
|
如果數(shù)據(jù)庫程序員沒有聰明到能夠檢查出類似的信息并“清洗”掉我們的輸入,該代碼將在遠(yuǎn)程數(shù)據(jù)庫系統(tǒng)執(zhí)行,然后這些關(guān)于所有用戶名和密碼的敏感數(shù)據(jù)就會返回到我們的瀏覽器。
你可能會認(rèn)為這是在危言聳聽,不過還有更絕的。David Litchfield在他的著作《Oracle黑客手冊》(Oracle Hacker's Handbook)中把某種特殊的pl/sql注入攻擊美其名曰:圣杯(holy grail),因為它曾通殺Oracle 8到Oracle10g的所有Oracle數(shù)據(jù)庫版本。很想知道其作用原理吧。你可以利用一個被稱為DBMS_EXPORT_EXTENSION的程序包,使用注入攻擊獲取執(zhí)行一個異常處理程序的代碼,該程序會賦予用戶或所有相關(guān)用戶數(shù)據(jù)庫管理員的特權(quán)。
這就是Oracle發(fā)布的著名安全升級補丁Security Alert 68所針對的漏洞。不過據(jù)Litchfield稱,這些漏洞是永遠(yuǎn)無法完全修補完畢的。
防范此類攻擊的方法
總而言之,雖說沒有萬能的防彈衣,但鑒于這個問題涉及到所有面向網(wǎng)絡(luò)的應(yīng)用軟件,還是要盡力防范。目前市面上有各式各樣可加以利用的SQL注入檢測技術(shù)。
還可以用不同的入侵檢測工具在不同的水平上檢測SQL注入攻擊。訪問專門從事Oracle安全性研究的Pete Finnigan的安全網(wǎng)站http://www.petefinnigan.com/orasec.htm,在該網(wǎng)頁搜索“sql injection”,可以獲得更多相關(guān)信息。Pete Finnigan曾在其博客上報告稱Steven Feurstein目前正在編寫一個稱為SQL Guard 的pl/sql程序包,專門用來防止SQL注入攻擊。
對于軟件開發(fā)人員來說,很多軟件包都能夠幫助你“清洗”輸入信息。如果你調(diào)用對從頁面表單接受的每個值都調(diào)用清洗例行程序進(jìn)行處理,這樣可以更加嚴(yán)密的保護(hù)你的系統(tǒng)。不過,最好使用SQL注入工具對軟件進(jìn)行測試和驗證,以確保萬無一失。
2. 默認(rèn)密碼
Oracle數(shù)據(jù)庫是一個龐大的系統(tǒng),提供了能夠創(chuàng)建一切的模式。絕大部分的系統(tǒng)自帶用戶登錄都配備了預(yù)設(shè)的默認(rèn)密碼。想知道數(shù)據(jù)庫管理員工作是不是夠勤奮?這里有一個方法可以找到答案。看看下面這些最常用的預(yù)設(shè)用戶名和密碼是不是能夠登錄到數(shù)據(jù)庫吧:
|
就算數(shù)據(jù)庫管理員已經(jīng)很勤奮的把這些默認(rèn)配對都改了,有時候想猜出登錄密碼也不是一件困難的事情,逐個試試“oracle”、“oracle4”、“oracle8i”、“oracle11g”,看看碰巧是不是有一個能登錄上去的。
Pete Finnigan提供了一份關(guān)于缺省用戶和對應(yīng)密碼的名單,該名單非常全面而且是最新的,并包括已經(jīng)加密的密碼。如果你用all_users來進(jìn)行查詢,可以嘗試并比較一下這份名單。
防范此類攻擊的方法
作為數(shù)據(jù)庫管理員,應(yīng)該定期審核所有的數(shù)據(jù)庫密碼,如果某些商業(yè)方面的阻力使你不能輕易更改容易被人猜出的密碼,你可以盡量心平氣和地和相關(guān)人員解釋,用一些直觀的例子來闡明如果不修改密碼的話會有什么不好的事情發(fā)生,會有什么樣的風(fēng)險存在。
Oracle也提供了密碼安全profile,你可以激活該profile,在某種水平上加強數(shù)據(jù)庫密碼的復(fù)雜性,還可以執(zhí)行定期密碼失效。要注意要把這個功能設(shè)置為只對通過網(wǎng)絡(luò)服務(wù)器或中間層應(yīng)用服務(wù)器登錄的事件起作用。
3. 蠻力攻擊(Brute Force)
蠻力攻擊,就像其名字所暗示的,就是不停的撬,直到“鎖”打開為止的方法。對于Oracle數(shù)據(jù)庫來說,就是用某種自動執(zhí)行的進(jìn)程,通過嘗試所有的字母數(shù)字組合來破解用戶名和密碼。
Unix的管理員就可以利用一款名為John the Ripper的密碼破解軟件來執(zhí)行這類的攻擊?,F(xiàn)在如果你下載某個補丁,你也可以利用這款軟件來對Oracle進(jìn)行蠻力攻擊,敲開其密碼。不過根據(jù)密碼的復(fù)雜程度不同,這可能是個很費時的過程,如果你想加快這個進(jìn)程,可以事先準(zhǔn)備一張包含所有密碼加密的表,這樣的表叫做Rainbow table,你可以為每個用戶名準(zhǔn)備一張不同的rainbow table,因為這種密碼加密算法把用戶名作為助燃劑。在這里就不再深入介紹更多的細(xì)節(jié)問題了,大家可以查閱http://www.antsight.com/zsl/rainbowcrack/獲得更多信息。
Oracle服務(wù)器的默認(rèn)設(shè)置是,對某個特定帳戶輸錯密碼達(dá)十次就會自動鎖定該帳戶。不過通常“sys as sysdba”權(quán)限沒有這個限制,這可能是因為如果你鎖定了管理員,那所有人都將被鎖定。這樣的設(shè)置為我們黑客破解軟件(OraBrute)如開辟了一條生路,它們會晝夜不停地敲打你數(shù)據(jù)庫的前門,直到它乖乖打開為止。
防范此類攻擊的方法
想要抵御此類攻擊,可以使用之前提及的對付預(yù)設(shè)密碼攻擊的方法。不過好奇心過重的數(shù)據(jù)庫管理員也可能下載上面提到的工具侵入自己的系統(tǒng)。這說明了你真正的風(fēng)險來自何方。
在安全領(lǐng)域,這個概念被稱為數(shù)據(jù)向外滲漏(exfiltration),這個詞來自軍事術(shù)語,其反面是向敵人內(nèi)部滲透(infiltration),意思就是在不被發(fā)現(xiàn)的情況下偷偷潛出。對于從目標(biāo)數(shù)據(jù)庫獲取數(shù)據(jù)的過程,可能就像從一些磁帶備份中挑揀數(shù)據(jù)和還原數(shù)據(jù)庫或者像從一個被毀壞的磁盤重復(fù)制一份拷貝一樣簡單。不過,也有可能涉及到窺探網(wǎng)絡(luò)傳輸以獲得相關(guān)的數(shù)據(jù)包。
Oracle有一個名為UTL_TCP的程序包,能夠使外部連接指向其他服務(wù)器。對它稍微改編一下,就可以利用它從數(shù)據(jù)庫發(fā)送一套低帶寬數(shù)據(jù)流到遠(yuǎn)程主機。Oracle也附帶了一些有用的程序包來隱藏數(shù)據(jù)流里的信息,如果你在發(fā)動潛入行動的時候擔(dān)心入侵檢測系統(tǒng)會監(jiān)測到你的不法活動,那么可以充分利用這些功能秘密嵌入,包括DBMS_OBFUSCATION_TOOLKIT和DBMS_CRYPTO。
防范此類攻擊的方法
防范此類攻擊的最佳辦法是安裝入侵檢測系統(tǒng),這些系統(tǒng)能夠檢測網(wǎng)絡(luò)中流入和流出的數(shù)據(jù)包。有一些檢測系統(tǒng)還提供深入數(shù)據(jù)包檢測,可以確實檢查某些SQL,并可以通過設(shè)定規(guī)則在某種情況下觸發(fā)報警器。這些工具還能夠查找泄密跡象,例如添加的UNION、各種類型的short- circuiting命令、利用“--”注釋進(jìn)行截斷等等。
5. 監(jiān)聽器
計算機世界最讓人覺得了不起的事情就是,不管有多么困難的事,總有辦法馴服它。尤其是在安全領(lǐng)域,一些漏洞如此的簡單,而這些漏洞的出現(xiàn)僅僅是因為用戶(也包括我們現(xiàn)在扮演的角色——黑客)并沒有像軟件設(shè)計者(程序員或軟件開發(fā)員)本來預(yù)想的那樣思考和行動。
Oracle監(jiān)聽器的設(shè)置是為了能夠?qū)崿F(xiàn)遠(yuǎn)程管理。那么如果攻擊者把監(jiān)聽器的logfile設(shè)置為Unix .rhosts文件呢?這樣攻擊者就可以輕松的對.rhosts文件進(jìn)行寫操作。Unix上的這個文件設(shè)置了什么人可以不用密碼而使用rsh、rlogin和rcp命令登錄。你可以想想將會發(fā)生什么事情。
這其實只是圍繞Oracle監(jiān)聽器安全問題的冰山一角而已。其他的還有緩沖區(qū)溢出等一大堆問題需要注意。事實上Litchfield的《Oracle黑客手冊》里花了一整章的內(nèi)容來討論這個主題。
防范此類攻擊的方法
從預(yù)防的角度而言,Oracle已經(jīng)做出了一定措施來更好的保障系統(tǒng)安全,前提是你能夠把它實施到位。首先,為監(jiān)聽器設(shè)置一個管理密碼。對于擔(dān)負(fù)著管理不斷增加的密碼重?fù)?dān)的管理員而言,這看起來像是多余的,不過在你需求其他途徑來保障監(jiān)聽器安全之前,好好地想想上面提到的和沒提到的威脅。Oracle也添加了ADMIN_RESTRICTIONS,能夠阻止特定的遠(yuǎn)程控制事件。
6. 權(quán)限提升
簡單的說,“權(quán)限提升”包括使用現(xiàn)有的低權(quán)限帳戶,利用巧取、偷竊或非法的方式獲取更高的權(quán)限,甚至是數(shù)據(jù)庫管理員的權(quán)限。
下面舉個使用CREATE ANY權(quán)限的例子。假設(shè)我能通過一個擁有CREATE ANY TRIGGER權(quán)限的用戶CYW訪問數(shù)據(jù)庫,這樣我就能在任意的模式里創(chuàng)建觸發(fā)器。如果你能追蹤到一個任何用戶都能執(zhí)行寫入操作的表,你在SYSTEM里創(chuàng)建了一個能夠在低權(quán)限的你對該可寫表進(jìn)行插入或更新操作時執(zhí)行的觸發(fā)器。你編寫的觸發(fā)器會調(diào)用一個存儲過程(也是你自己編寫的),該存儲過程會使用AUTHID CURRENT_USER為調(diào)用者授權(quán)。這就意味著,當(dāng)該觸發(fā)器運行“你”的存儲過程時,擁有SYSTEM的權(quán)限?,F(xiàn)在你的非法存儲過程內(nèi)部,包含了“EXECUTE IMMEDIATE 'GRANT DBA TO CYW'”。這樣我就可以在觸發(fā)器運行的時候插入到我的公共表里,該觸發(fā)器由SYSTEM所有,而SYSTEM會調(diào)用我的change_privileges存儲過程,這個存儲過程使用AUTHID CURRENT_USER為我授權(quán)。這樣“我”就可以在不改變我自身權(quán)限的情況下獲得并執(zhí)行SYSTEM的權(quán)限。
防范此類攻擊的方法
數(shù)據(jù)庫管理員該怎么應(yīng)對這個問題呢?首先,你應(yīng)該審核數(shù)據(jù)庫的CREATE ANY權(quán)限,刪除其中不需要的那些部分。其次,看看類似于www.securityfocus.com這類的論壇,看看關(guān)于權(quán)限提升的最新漏洞。最后,激活對某些特定類型數(shù)據(jù)庫活動的審計功能并沒有什么壞處,這樣數(shù)據(jù)庫就能讓你實現(xiàn)自我保護(hù)。當(dāng)數(shù)據(jù)庫自行審核類似于GRANT DBA這樣的事件時,你可以通過查看審計日志知道有沒有出現(xiàn)惡意或突發(fā)的活動
7. 操作系統(tǒng)指令和安全
黑客并不總是通過shell命令行提示符登錄到你的系統(tǒng)的。 不過,通過誘使Oracle數(shù)據(jù)庫運行操作系統(tǒng)水平的指令,我們的確給黑客提供了一條運行指令的有效途徑。這些指令能夠刪除和破壞文件、改寫日志(以便隱藏他們的行蹤)、創(chuàng)建帳戶,以及其他一些能通過命令行輸入指令達(dá)成的操作。他們是怎么做到的呢?盡管方法有很多,最容易的一種就是通過Java和PL/SQL這些程序語言。通??梢岳脛?chuàng)建外部存儲過程的能力,使之執(zhí)行一個具備系統(tǒng)調(diào)用功能的存儲程序。這個系統(tǒng)調(diào)用指令能夠以首次安裝時使用的oracle帳戶權(quán)限執(zhí)行。
防范此類攻擊的方法
雖然Oracle在保護(hù)用戶免受此類攻擊上已經(jīng)取得了一定進(jìn)展,不過你最好還是把希望寄托在你的預(yù)防監(jiān)測工作上。嚴(yán)密留意你的系統(tǒng)內(nèi)部有沒有出現(xiàn)這類活動,當(dāng)有攻擊者試圖對你使用此類惡意攻擊時,你最好能夠事先掌握主動權(quán)。
8. 文件系統(tǒng)安全
對文件系統(tǒng)(filesystem)的訪問是一個讓你頭大的棘手問題。“oracle”操作系統(tǒng)用戶擁有所有Oracle軟件和數(shù)據(jù)庫數(shù)據(jù)文件的訪問權(quán)限,所以如果數(shù)據(jù)庫內(nèi)部的某些用戶利用UTL_FILE包訪問filesystem上的文件時,他們就可以訪問之前由于權(quán)限和角色限制而無權(quán)訪問的很多數(shù)據(jù)庫內(nèi)部文件。
防范此類攻擊的方法
Oracle引入DIRECTORY對象在防止此類攻擊上也有一定作用。在10g系統(tǒng)中,必須通過DIRECTORY對象來定義某些類型的讀寫操作。這意味著用戶必須擁有CREATE DIRECTORY權(quán)限,而在前面介紹的權(quán)限提升問題中,我們已經(jīng)看到可以通過很多方法獲取這種權(quán)限。即使這些也被解決了,還是有很多方法可以通過PL/SQL或Java語言來獲取對filesystem的訪問權(quán)限和對文件的讀寫權(quán)限。
總論:
就像上面討論的一樣,Oracle數(shù)據(jù)庫產(chǎn)品有很多漏洞,有時候看起來就像由一些聰明透頂?shù)墓こ處熃ㄔ斓囊凰勒こ處煿倘宦斆鳎饶切┯J覦此宅的黑客們忠厚老實多了。因此,他們沒有預(yù)料到有人會利用這種種方法來偷磚竊瓦削弱豪宅的根基。黑客可以通過很多不同的方法進(jìn)行攻擊,侵入到目標(biāo)數(shù)據(jù)庫。
不過,只要數(shù)據(jù)庫管理員能夠花點時間和精力來解決,其中很多問題都是可以避免的。Oracle已經(jīng)針對很多漏洞在數(shù)據(jù)庫內(nèi)部打上了補丁,而且入侵監(jiān)測系統(tǒng)能體構(gòu)額外的安全保障。所以數(shù)據(jù)庫管理員應(yīng)該對每一種漏洞都銘記在心,警惕性才是防范的關(guān)鍵,盡量執(zhí)行好自己制定的安全計劃。
評論