国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      數(shù)據(jù)庫(kù)安全評(píng)估方法

      文檔序號(hào):6515199閱讀:308來(lái)源:國(guó)知局
      數(shù)據(jù)庫(kù)安全評(píng)估方法
      【專利摘要】本發(fā)明涉及一種數(shù)據(jù)庫(kù)安全評(píng)估方法,屬于數(shù)據(jù)庫(kù)安全【技術(shù)領(lǐng)域】。該方法中包括以下幾個(gè)模塊:(1)信息收集模塊;(2)審計(jì)模塊;(3)滲透測(cè)試模塊;(4)痕跡處理模塊;(5)評(píng)估模塊;(6)系統(tǒng)控制模塊。該模塊采用可編程控制器實(shí)現(xiàn),與其余模塊相連接,控制各個(gè)模塊的運(yùn)作和數(shù)據(jù)傳輸。本發(fā)明針對(duì)一些商用漏洞掃描工具在實(shí)際應(yīng)用中存在隱藏測(cè)試結(jié)果的問(wèn)題,可以提供具有可靠性和安全性的數(shù)據(jù)庫(kù)安全評(píng)估報(bào)告,并強(qiáng)調(diào)數(shù)據(jù)庫(kù)當(dāng)前存在的漏洞風(fēng)險(xiǎn)等級(jí),直觀地讓數(shù)據(jù)庫(kù)管理員了解數(shù)據(jù)庫(kù)當(dāng)前面臨的安全問(wèn)題,完善了安全策略,降低了安全風(fēng)險(xiǎn)。
      【專利說(shuō)明】數(shù)據(jù)庫(kù)安全評(píng)估方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及一種數(shù)據(jù)庫(kù)安全評(píng)估方法,利用掃描到的數(shù)據(jù)庫(kù)漏洞對(duì)其進(jìn)行模擬攻擊,提供具有安全性和可靠性的評(píng)估報(bào)告,屬于數(shù)據(jù)庫(kù)安全【技術(shù)領(lǐng)域】。
      【背景技術(shù)】
      [0002]隨著數(shù)據(jù)庫(kù)應(yīng)用的逐漸廣泛,數(shù)據(jù)庫(kù)安全問(wèn)題備受關(guān)注?,F(xiàn)如今,數(shù)據(jù)庫(kù)通常存在的漏洞有口令復(fù)雜度低、低安全設(shè)置級(jí)別、啟動(dòng)不必要的數(shù)據(jù)庫(kù)功能、數(shù)據(jù)泄露、緩沖區(qū)溢出等。這些安全漏洞和不恰當(dāng)配置通常會(huì)帶來(lái)嚴(yán)重的后果。
      [0003]由于現(xiàn)階段缺乏數(shù)據(jù)庫(kù)安全評(píng)估工具,漏洞風(fēng)險(xiǎn)等級(jí)不斷提升,數(shù)據(jù)庫(kù)管理員無(wú)法及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)面臨的安全問(wèn)題。滲透測(cè)試完全模擬黑客的入侵和攻擊手段,利用數(shù)據(jù)庫(kù)存在的安全漏洞,在可控制和非破壞性的范圍之內(nèi),對(duì)數(shù)據(jù)庫(kù)進(jìn)行模擬攻擊,能夠讓管理員直觀地知道數(shù)據(jù)庫(kù)存在的安全漏洞。
      [0004]一般常用的數(shù)據(jù)庫(kù)滲透測(cè)試工具有DSQLTools (SQL注入工具)、nbsi3.0 (MSS-QL注入工具)、mysqlweak(Mysql數(shù)據(jù)庫(kù)弱口令掃描器)、pangolin(數(shù)據(jù)庫(kù)注入工具)、db2utils (DB2 漏洞利用工具)、oscanner (Oracle 掃描工具)、oracIe_chec-kpwd_big (Oracle弱口令猜解工具)等,但這些商用的漏洞掃描工具在實(shí)際應(yīng)用中存在隱藏測(cè)試結(jié)果的問(wèn)題,若無(wú)法對(duì)某種漏洞進(jìn)行測(cè)試,無(wú)法了解存在漏洞的風(fēng)險(xiǎn)等級(jí),數(shù)據(jù)庫(kù)管理員會(huì)誤以為數(shù)據(jù)庫(kù)是安全的,可實(shí)際上卻存在安全隱患。所以,提供具有可靠性和安全性的評(píng)估報(bào)告和漏洞風(fēng)險(xiǎn)等級(jí)是保證數(shù)據(jù)庫(kù)管理員及時(shí)了解數(shù)據(jù)庫(kù)是否安全的必要基礎(chǔ)。

      【發(fā)明內(nèi)容】

      [0005]本發(fā)明的目的在于利用掃描到的數(shù)據(jù)庫(kù)漏洞對(duì)其進(jìn)行非破壞性質(zhì)的滲透測(cè)試,提供最具有安全性和可靠性的評(píng)估報(bào)告,強(qiáng)調(diào)數(shù)據(jù)庫(kù)當(dāng)前存在的漏洞風(fēng)險(xiǎn)等級(jí),及時(shí)提醒數(shù)據(jù)庫(kù)管理員完善安全策略,降低安全風(fēng)險(xiǎn)。
      [0006]為了實(shí)現(xiàn)上述目的,本發(fā)明的技術(shù)方案如下。
      [0007]一種數(shù)據(jù)庫(kù)安全評(píng)估方法,包括以下幾個(gè)模塊:
      (I)信息收集模塊:主要對(duì)目標(biāo)任務(wù)軟硬件環(huán)境、用戶設(shè)置、拓?fù)淝闆r、應(yīng)用情況有一個(gè)基本的了解,為更深入地進(jìn)行滲透測(cè)試提供資料,可以有針對(duì)性地制定出滲透測(cè)試方案;利用信息收集模塊收集數(shù)據(jù)庫(kù)端口掃描,賬號(hào)掃描,口令、權(quán)限結(jié)構(gòu)、版本信息、配置選項(xiàng)等基本信息。通過(guò)信息收集,可以基本確定一個(gè)數(shù)據(jù)庫(kù)的基本信息和它可能存在以及被利用的安全弱點(diǎn)或易被猜解的口令,為進(jìn)行深層次的滲透提供依據(jù)。
      [0008](2)審計(jì)模塊:對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)工作,精確地監(jiān)控所有訪問(wèn)及操作請(qǐng)求;數(shù)據(jù)庫(kù)審計(jì)模塊實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng),將網(wǎng)絡(luò)與網(wǎng)關(guān)相連,監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,讀取包體信息,將包體信息連同捕獲的接收時(shí)間、發(fā)送端IP和接收端IP、庫(kù)、表、函數(shù)等重要信息字段連同SQL操作命令保存至對(duì)應(yīng)的數(shù)據(jù)庫(kù)表中,同時(shí)記錄這些SQL操作是否成功。
      [0009](3)滲透測(cè)試模塊:模擬黑客使用的攻擊技術(shù),針對(duì)分析出的數(shù)據(jù)庫(kù)漏洞進(jìn)行深入的探測(cè),讓管理員知道數(shù)據(jù)庫(kù)最脆弱的環(huán)節(jié);進(jìn)行滲透測(cè)試的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)為MS-SQL、Oracle> MySQL>Informix、Sybase、DB2、Access 等。
      [0010]其中,滲透測(cè)試模塊包括以下步驟:
      步驟一:利用掃描或嗅探技術(shù)對(duì)目標(biāo)任務(wù)進(jìn)行測(cè)試,若識(shí)別出口令為空,則利用SQLTools工具或手工方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作;若識(shí)別出口令為弱,則使用暴力攻擊,不斷輸入枚舉的用戶名和密碼組合,直到可以登錄為止,獲得口令,進(jìn)而利用SQL Tools工具或手工方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作。
      [0011]數(shù)據(jù)庫(kù)的違規(guī)操作方法包括:
      ①訪問(wèn)不可能存在的文件或數(shù)據(jù);
      ②竊取無(wú)訪問(wèn)權(quán)限的數(shù)據(jù),破壞數(shù)據(jù)庫(kù)的數(shù)據(jù)完整性;
      ③實(shí)用暴力攻擊獲取數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,獲得控制權(quán);
      ④增加SQL賬戶或執(zhí)行DOS命令。
      [0012]步驟二:若識(shí)別不出空/弱口令,則掃描目標(biāo)任務(wù)看其是否存在安全漏洞,若存在安全漏洞,則利用漏洞進(jìn)行滲透測(cè)試,其中主要的漏洞類型包括:
      (3a)權(quán)限漏洞:
      ①權(quán)限提升漏洞。在內(nèi)置函數(shù)、SQL操作指令中找到安全漏洞,利用漏洞將普通用戶的權(quán)限提升為管理員權(quán)限,進(jìn)而可以獲取數(shù)據(jù)庫(kù)資料,惡意篡改數(shù)據(jù)等。
      [0013]②隨意授予權(quán)限漏洞。利用用戶的普通權(quán)限對(duì)數(shù)據(jù)庫(kù)執(zhí)行自身權(quán)限以外的操作。
      [0014](3b)安裝漏洞:
      ①安全設(shè)置級(jí)別低。
      [0015]②啟動(dòng)不必要的數(shù)據(jù)庫(kù)功能。
      [0016](3c)產(chǎn)品漏洞:
      ①拒絕服務(wù)攻擊漏洞。向目標(biāo)任務(wù)發(fā)送少量數(shù)據(jù)導(dǎo)致其資源被大幅占用,從而拒絕服務(wù)。
      [0017]②緩沖區(qū)溢出漏洞:向有限空間的緩沖區(qū)拷貝一個(gè)過(guò)長(zhǎng)的字符串,可導(dǎo)致程序癱瘓,造成宕機(jī)、重啟;或者運(yùn)行惡意代碼,執(zhí)行任意指令,獲得權(quán)限。
      [0018](4)、痕跡處理模塊。清除攻擊痕跡,包括清除應(yīng)用程序日志、安全日志、系統(tǒng)日志;
      (5)、評(píng)估模塊。根據(jù)攻擊結(jié)果,對(duì)數(shù)據(jù)庫(kù)的安全性進(jìn)行評(píng)估,并生成報(bào)告。
      [0019]攻擊服務(wù)器根據(jù)滲透測(cè)試攻擊結(jié)果的反饋信息,對(duì)目標(biāo)任務(wù)是否存在漏洞以及漏洞風(fēng)險(xiǎn)等級(jí)多大以文本形式輸出,將此文本信息傳輸給目標(biāo)任務(wù)服務(wù)器。評(píng)估報(bào)告中的漏洞風(fēng)險(xiǎn)等級(jí)從低到高可做以下劃分:
      一級(jí):掃描無(wú)漏洞,但這并不代表數(shù)據(jù)庫(kù)無(wú)漏洞風(fēng)險(xiǎn);
      二級(jí):危害級(jí)別輕微的漏洞,例如數(shù)據(jù)庫(kù)安全漏洞,此類漏洞比較不容易構(gòu)成嚴(yán)重后
      果;
      三級(jí):危害級(jí)別較小的漏洞,例如可獲取非機(jī)密性質(zhì)的文件資料,但不造成嚴(yán)重?cái)?shù)據(jù)泄
      露;
      四級(jí):危害級(jí)別一般的漏洞,例如拒絕服務(wù)攻擊漏洞、隨意授予權(quán)限漏洞、空/弱口令漏洞等; 五級(jí):危害級(jí)別嚴(yán)重的漏洞,例如緩沖區(qū)溢出漏洞、權(quán)限提升漏洞、數(shù)據(jù)嚴(yán)重泄露和篡改。
      [0020](6)系統(tǒng)控制模塊。該模塊采用可編程控制器實(shí)現(xiàn),與其余模塊相連接,控制各個(gè)模塊的運(yùn)作和數(shù)據(jù)傳輸。
      [0021]該發(fā)明的有益效果在于:本發(fā)明針對(duì)一些商用漏洞掃描工具在實(shí)際應(yīng)用中存在隱藏測(cè)試結(jié)果的問(wèn)題,可以提供具有可靠性和安全性的數(shù)據(jù)庫(kù)安全評(píng)估報(bào)告,并強(qiáng)調(diào)數(shù)據(jù)庫(kù)當(dāng)前存在的漏洞風(fēng)險(xiǎn)等級(jí),直觀地讓數(shù)據(jù)庫(kù)管理員了解數(shù)據(jù)庫(kù)當(dāng)前面臨的安全問(wèn)題,完善了安全策略,降低了安全風(fēng)險(xiǎn)。
      【專利附圖】

      【附圖說(shuō)明】
      [0022]圖1為本發(fā)明實(shí)施例中的功能模塊連接圖;
      圖2為本發(fā)明實(shí)施例中信息收集模塊的技術(shù)示意圖;
      圖3為本發(fā)明實(shí)施例中滲透測(cè)試模塊實(shí)施流程圖。
      【具體實(shí)施方式】
      [0023]下面結(jié)合實(shí)施例進(jìn)一步闡述該發(fā)明的【具體實(shí)施方式】。
      實(shí)施例
      [0024]如圖1所示的數(shù)據(jù)庫(kù)安全評(píng)估方法包括信息收集和分析模塊、審計(jì)模塊、滲透測(cè)試模塊、痕跡處理模塊、評(píng)估模塊和系統(tǒng)控制模塊。系統(tǒng)控制模塊采用可編程控制器實(shí)現(xiàn),與其余各模塊相連接,控制各個(gè)模塊的運(yùn)作和數(shù)據(jù)傳輸。
      [0025]本實(shí)施例中,數(shù)據(jù)庫(kù)安全評(píng)估方法分為以下幾個(gè)實(shí)施步驟:
      步驟一:對(duì)目標(biāo)任務(wù)進(jìn)行信息收集,對(duì)目標(biāo)任務(wù)軟硬件環(huán)境、用戶設(shè)置、拓?fù)淝闆r、應(yīng)用情況有一個(gè)基本的了解,為更深入地進(jìn)行滲透測(cè)試提供資料,可以有針對(duì)性地制定出滲透測(cè)試方案;
      如圖2所示,信息收集采用攻擊服務(wù)器與遠(yuǎn)程目標(biāo)任務(wù)的數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)同步的方法。當(dāng)啟動(dòng)信息收集應(yīng)用程序時(shí),即當(dāng)攻擊服務(wù)器要接收目標(biāo)任務(wù)的數(shù)據(jù)庫(kù)信息時(shí),該服務(wù)器向目標(biāo)任務(wù)的服務(wù)器端發(fā)出HTTP請(qǐng)求,目標(biāo)任務(wù)的服務(wù)器與數(shù)據(jù)庫(kù)連接,執(zhí)行SQL請(qǐng)求。接著數(shù)據(jù)被傳送到攻擊服務(wù)器中,復(fù)制到攻擊服務(wù)器所連接的數(shù)據(jù)庫(kù)中。
      [0026]利用信息收集模塊收集數(shù)據(jù)庫(kù)端口掃描,賬號(hào)掃描,口令、權(quán)限結(jié)構(gòu)、版本信息、配置選項(xiàng)等基本信息。通過(guò)信息收集,可以基本確定一個(gè)數(shù)據(jù)庫(kù)的基本信息和它可能存在以及被利用的安全弱點(diǎn)或易被猜解的口令,為進(jìn)行深層次的滲透提供依據(jù)。
      [0027]步驟二:通過(guò)弱點(diǎn)對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)工作,精確地監(jiān)控所有訪問(wèn)及操作請(qǐng)求;數(shù)據(jù)庫(kù)審計(jì)模塊實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng),將網(wǎng)絡(luò)與網(wǎng)關(guān)相連,監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,讀取包體信息,將包體信息連同捕獲的接收時(shí)間、發(fā)送端IP和接收端IP、庫(kù)、表、函數(shù)等重要信息字段連同SQL操作命令保存至對(duì)應(yīng)的數(shù)據(jù)庫(kù)表中,同時(shí)記錄這些SQL操作是否成功。
      [0028]步驟三:模擬黑客使用的攻擊技術(shù),針對(duì)分析出的數(shù)據(jù)庫(kù)漏洞進(jìn)行滲透測(cè)試,讓數(shù)據(jù)庫(kù)管理員知道數(shù)據(jù)庫(kù)最脆弱的環(huán)節(jié);進(jìn)行滲透測(cè)試的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)為MS-SQL、Oracle、MySQL>Informix、Sybase、DB2、Access 等。[0029]如圖3所示,滲透測(cè)試模塊包括以下步驟:
      (I)利用掃描或嗅探技術(shù)對(duì)目標(biāo)任務(wù)進(jìn)行測(cè)試,若識(shí)別出口令為空,則利用SQL Tools工具或手工方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作;若識(shí)別出口令為弱,則使用暴力攻擊,不斷輸入枚舉的用戶名和密碼組合,直到可以登錄為止,獲得口令,進(jìn)而利用SQL Tools工具或手工方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作。
      [0030]數(shù)據(jù)庫(kù)的違規(guī)操作方法包括:
      ①訪問(wèn)不可能存在的文件或數(shù)據(jù);
      ②竊取無(wú)訪問(wèn)權(quán)限的數(shù)據(jù),破壞數(shù)據(jù)庫(kù)的數(shù)據(jù)完整性;
      ③實(shí)用暴力攻擊獲取數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,獲得控制權(quán);
      ④增加SQL賬戶或執(zhí)行DOS命令。
      [0031](2)若識(shí)別不出空/弱口令,則掃描目標(biāo)任務(wù)看其是否存在安全漏洞,若存在安全漏洞,則利用漏洞進(jìn)行滲透測(cè)試,其中主要的漏洞類型包括:
      (2a)權(quán)限漏洞:
      ①權(quán)限提升漏洞。在內(nèi)置函數(shù)、SQL操作指令中找到安全漏洞,利用漏洞將普通用戶的權(quán)限提升為管理員權(quán)限,進(jìn)而可以獲取數(shù)據(jù)庫(kù)資料,惡意篡改數(shù)據(jù)等。
      [0032]②隨意授予權(quán)限漏洞。利用用戶的普通權(quán)限對(duì)數(shù)據(jù)庫(kù)執(zhí)行自身權(quán)限以外的操作。
      [0033](2b)安裝漏洞:
      ①安全設(shè)置級(jí)別低。
      [0034]②啟動(dòng)不必要的數(shù)據(jù)庫(kù)功能。
      [0035](2c)產(chǎn)品漏洞:
      ①拒絕服務(wù)攻擊漏洞。向目標(biāo)任務(wù)發(fā)送少量數(shù)據(jù)導(dǎo)致其資源被大幅占用,從而拒絕服務(wù)。②緩沖區(qū)溢出漏洞:向有限空間的緩沖區(qū)拷貝一個(gè)過(guò)長(zhǎng)的字符串,可導(dǎo)致程序癱瘓,造成宕機(jī)、重啟;或者運(yùn)行惡意代碼,執(zhí)行任意指令,獲得權(quán)限。
      [0036]步驟四:清除攻擊痕跡,包括清除應(yīng)用程序日志、安全日志、系統(tǒng)日志;
      痕跡清除模塊采用clearlog.exe工具,方法為:
      (I)清除目標(biāo)任務(wù)應(yīng)用程序日志為clearlogs \ip _app ; (2)清除目標(biāo)任務(wù)安全日志為 clearlogs \ip -sec ; (3)清除目標(biāo)任務(wù)系統(tǒng)日志為 clearlogs \ip —sys。
      [0037]步驟五:根據(jù)攻擊結(jié)果,對(duì)數(shù)據(jù)庫(kù)的安全性進(jìn)行評(píng)估,并生成報(bào)告。
      [0038]攻擊服務(wù)器根據(jù)滲透測(cè)試攻擊結(jié)果的反饋信息,對(duì)目標(biāo)任務(wù)是否存在漏洞以及漏洞風(fēng)險(xiǎn)等級(jí)多大以文本形式輸出,將此文本信息傳輸給目標(biāo)任務(wù)服務(wù)器。其中,評(píng)估報(bào)告中的漏洞風(fēng)險(xiǎn)等級(jí)從低到高可做以下劃分:
      一級(jí):掃描無(wú)漏洞,但這并不代表數(shù)據(jù)庫(kù)無(wú)漏洞風(fēng)險(xiǎn);
      二級(jí):危害級(jí)別輕微的漏洞,例如數(shù)據(jù)庫(kù)安全漏洞,此類漏洞比較不容易構(gòu)成嚴(yán)重后
      果;
      三級(jí):危害級(jí)別較小的漏洞,例如可獲取非機(jī)密性質(zhì)的文件資料,但不造成嚴(yán)重?cái)?shù)據(jù)泄
      露;
      四級(jí):危害級(jí)別一般的漏洞,例如拒絕服務(wù)攻擊漏洞、隨意授予權(quán)限漏洞、空/弱口令漏洞等;
      五級(jí):危害級(jí)別嚴(yán)重的漏洞,例如緩沖區(qū)溢出漏洞、權(quán)限提升漏洞、數(shù)據(jù)嚴(yán)重泄露和篡改。
      [0039]以上所述是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也視為本發(fā)明的保護(hù)范圍。
      【權(quán)利要求】
      1.一種數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:包括以下幾個(gè)模塊: (1)信息收集和分析模塊:對(duì)目標(biāo)任務(wù)軟硬件環(huán)境、用戶設(shè)置、拓?fù)淝闆r、應(yīng)用情況有一個(gè)基本的了解,分析數(shù)據(jù)庫(kù)存在的弱點(diǎn),為更深入地進(jìn)行滲透測(cè)試提供資料,可以有針對(duì)性地制定出滲透測(cè)試方案; (2)審計(jì)模塊:通過(guò)弱點(diǎn)對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)工作,精確地監(jiān)控所有訪問(wèn)及操作請(qǐng)求; (3)滲透測(cè)試模塊:模擬黑客使用的攻擊技術(shù),針對(duì)分析出的數(shù)據(jù)庫(kù)漏洞進(jìn)行深入的探測(cè),讓管理員知道數(shù)據(jù)庫(kù)最脆弱的環(huán)節(jié); (4)痕跡處理模塊:清除攻擊痕跡,包括清除應(yīng)用程序日志、安全日志、系統(tǒng)日志; (5)評(píng)估模塊:根據(jù)攻擊結(jié)果,對(duì)數(shù)據(jù)庫(kù)的安全性進(jìn)行評(píng)估,并生成報(bào)告; (6)系統(tǒng)控制模塊:該模塊采用可編程控制器實(shí)現(xiàn),與其余模塊相連接,控制各個(gè)模塊的運(yùn)作和數(shù)據(jù)傳輸。
      2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述信息收集模塊用于收集數(shù)據(jù)庫(kù)端口掃描,賬號(hào)掃描,口令、權(quán)限結(jié)構(gòu)、版本信息、配置選項(xiàng)等基本信息,以基本確定一個(gè)數(shù)據(jù)庫(kù)的基本信息和它可能存在以及被利用的安全弱點(diǎn)或易被猜解的口令,為進(jìn)行深層次的滲透提供依據(jù);信息收集采用攻擊服務(wù)器與遠(yuǎn)程目標(biāo)任務(wù)的數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)同步的方法;當(dāng)啟動(dòng)信息收集應(yīng)用程序時(shí),即當(dāng)攻擊服務(wù)器要接收目標(biāo)任務(wù)的數(shù)據(jù)庫(kù)信息時(shí),該服務(wù)器向目標(biāo)任務(wù)的服務(wù)器端發(fā)出HTTP請(qǐng)求,目標(biāo)任務(wù)的服務(wù)器與數(shù)據(jù)庫(kù)連接,執(zhí)行SQL請(qǐng)求,接著數(shù)據(jù)被傳送到攻擊 服務(wù)器中,復(fù)制到攻擊服務(wù)器所連接的數(shù)據(jù)庫(kù)中。
      3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述數(shù)據(jù)庫(kù)審計(jì)模塊實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng),將網(wǎng)絡(luò)與網(wǎng)關(guān)相連,監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,讀取包體信息,將包體信息連同捕獲的接收時(shí)間、發(fā)送端IP和接收端IP、庫(kù)、表、函數(shù)等重要信息字段連同SQL操作命令保存至對(duì)應(yīng)的數(shù)據(jù)庫(kù)表中,同時(shí)記錄這些SQL操作是否成功。
      4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述滲透測(cè)試模塊包括以下步驟: 步驟一:利用掃描或嗅探技術(shù)對(duì)目標(biāo)任務(wù)進(jìn)行測(cè)試,若識(shí)別出口令為空,則利用攻擊工具或手工攻擊方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作;若識(shí)別出口令為弱,則使用暴力攻擊,不斷輸入枚舉的用戶名和密碼組合,直到可以登錄為止,獲得口令,進(jìn)而利用攻擊工具或手工攻擊方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作; 步驟二:若識(shí)別不出空/弱口令,則掃描目標(biāo)任務(wù)看其是否存在安全漏洞,若存在安全漏洞,則利用漏洞進(jìn)行滲透測(cè)試,其中主要的漏洞類型包括: (1)權(quán)限漏洞:包括:①權(quán)限提升漏洞:在內(nèi)置函數(shù)、SQL操作指令中找到安全漏洞,利用漏洞將普通用戶的權(quán)限提升為管理員權(quán)限,進(jìn)而可以獲取數(shù)據(jù)庫(kù)資料,惡意篡改數(shù)據(jù)等;②隨意授予權(quán)限漏洞:利用用戶的普通權(quán)限對(duì)數(shù)據(jù)庫(kù)執(zhí)行自身權(quán)限以外的操作; (2)安裝漏洞:包括:①安全設(shè)置級(jí)別低;②啟動(dòng)不必要的數(shù)據(jù)庫(kù)功能; (3)產(chǎn)品漏洞:包括:①拒絕服務(wù)攻擊漏洞:向目標(biāo)任務(wù)發(fā)送少量數(shù)據(jù)導(dǎo)致其資源被大幅占用,從而拒絕服務(wù);②緩沖區(qū)溢出漏洞:向有限空間的緩沖區(qū)拷貝一個(gè)過(guò)長(zhǎng)的字符串,可導(dǎo)致程序癱瘓,造成宕機(jī)、重啟;或者運(yùn)行惡意代碼,執(zhí)行任意指令,獲得權(quán)限。
      5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述痕跡清除模塊采用clearlog.exe工具,具體方法為:(I)清除目標(biāo)任務(wù)應(yīng)用程序日志為Clearlogs \ip _app ; (2)清除目標(biāo)任務(wù)安全日志為 clearlogs \ip -sec ; (3)清除目標(biāo)任務(wù)系統(tǒng)日志為 clearlogs \ip —sys。
      6.根據(jù)權(quán)利要求4所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述步驟一中,對(duì)數(shù)據(jù)庫(kù)的違規(guī)操作方法包括:①訪問(wèn)不可能存在的文件或數(shù)據(jù);②竊取無(wú)訪問(wèn)權(quán)限的數(shù)據(jù),破壞數(shù)據(jù)庫(kù)的數(shù)據(jù)完整性;③實(shí)用暴力攻擊獲取數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,獲得控制權(quán);④增加SQL賬戶或執(zhí)行DOS命令。
      7.根據(jù)權(quán)利要求4所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述步驟二中,滲透測(cè)試的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)可以為 MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access 中的一種,根據(jù)攻擊結(jié)果,對(duì)數(shù)據(jù)庫(kù)的安全性進(jìn)行評(píng)估,生成報(bào)告。
      8.根據(jù)權(quán)利要求2所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述攻擊服務(wù)器根據(jù)滲透測(cè)試攻擊結(jié)果的反饋信息,對(duì)目標(biāo)任務(wù)是否存在漏洞以及漏洞風(fēng)險(xiǎn)等級(jí)多大以文本形式輸出,將此文本信息傳輸給目標(biāo)任務(wù)服務(wù)器。
      9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)庫(kù)安全評(píng)估方法,其特征在于:所述漏洞風(fēng)險(xiǎn)等級(jí)從低到高劃分為: 一級(jí):掃描無(wú)漏洞; 二級(jí):危害級(jí)別輕微的漏洞,例如數(shù)據(jù)庫(kù)安裝漏洞,此類漏洞比較不容易構(gòu)成嚴(yán)重后果; 三級(jí):危害級(jí)別較小的漏洞,例如可獲取非機(jī)密性質(zhì)的文件資料,但不造成嚴(yán)重?cái)?shù)據(jù)泄露; 四級(jí):危害級(jí)別一般的漏洞,例如拒絕服務(wù)攻擊漏洞、隨意授予權(quán)限漏洞、空/弱口令漏洞等; 五級(jí):危害級(jí)別嚴(yán)重的漏洞,例如緩沖區(qū)溢出漏洞、權(quán)限提升漏洞、數(shù)據(jù)嚴(yán)重泄露和篡改等。
      【文檔編號(hào)】G06F21/57GK103473381SQ201310475421
      【公開日】2013年12月25日 申請(qǐng)日期:2013年10月13日 優(yōu)先權(quán)日:2013年10月13日
      【發(fā)明者】陳志德, 吳紀(jì)蕓, 許力, 黃欣沂, 鄭金花 申請(qǐng)人:陳志德, 吳紀(jì)蕓, 許力, 黃欣沂, 鄭金花
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1