資料庫安全事故的層出不窮,諸如銀行内部資料洩漏造成資金失密、信用卡資訊被盜用導緻的系用卡僞造、 12306大量使用者身份資訊洩露,知名連鎖酒店海量開房資訊洩露 ……等等
普通的黑客從進入到退出一次資料攻擊隻需用不到10秒鐘時間就可完成,這個時間對于資料庫管理者來說即使注意到入侵者都不夠。是以,在資料被損害很長時間之前,許多資料庫攻擊都沒有被注意到。
那麼常見的資料庫入侵手段都有哪些?我們又該如何進行防範呢?
1.對弱密碼或預設使用者名/密碼的破解:
以前的Oracle資料庫有一個預設的使用者名:Scott及預設的密碼:tiger;而微軟的SQL Server的系統管理者賬戶的預設密碼是也是衆所周知。
當然這些預設的登入對于黑客來說尤其友善,借此他們可以輕松地進入資料庫。
Oracle和其它主要的資料庫廠商在其新版本的産品中表現得聰明起來,它們不再讓使用者保持預設的和空的使用者名及密碼等。但這并不意味着,所有的組織都在較老的資料庫中敞開着大門。
Forrester的Yuhanna說,“問題是企業擁有15000個資料庫,而完全地保護其安全并不容易。有時企業隻能保障關鍵資料庫的安全,其它的就不太安全了。現在,較新的資料庫強制使你在安裝時改變系統管理者賬戶的預設密碼。但較老的資料庫版本可能存在着問題。”
但即使是唯一的、非預設的資料庫密碼也是不安全的。Sentrigo的 Markovich 說,“你總可以在客戶那裡找到弱密碼和易于猜測的密碼。通過強力破解或隻試着用不同的組合就可以輕易地找到這種密碼。”
密碼破解工具有很多,并且通過Google搜尋或sectools.org等站點就可以輕易地獲得,這樣就會連接配接到Cain 、 Abel或John theRipper等流行的工具。
保護自己免受密碼攻擊的最佳方法:避免使用預設密碼,建立強健的密碼管理程式并對密碼經常改變。
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)