پردیس وب

شایع ترین آسیب پذیری های پایگاه داده

فرستادن به ایمیل

1 - به کار گیری نام کاربری و رمز عبور پیش فرض،خالی و یا از نظر امنیتی ضعیف

ممکن است در سازمان های بزرگ، پیگیری صدها یا هزاران پایگاه های داده، وظیفه ای طاقت فرسا و دلهره آور باشد. اما از بین بردن نام کاربری و رمز ورود به سیستم که هنوز در حالت پیش فرض، خالی (blank) یا از نظر امنیتی ضعیف هستند اولین مرحله مهم برای پر کردن درز های زره محافظ بانک اطلاعاتی سازمان می باشد. افراد نفوذگر همواره در گام اول نفوذ به دنبال پیگیری حساب هایی هستند که نام کاربری و رمز عبوری پیش فرض دارند، و هر زمانی که این امکان برایشان میسر شود لحظه ای در نفوذ به سیستم ها تردید نخواهند کرد.

2 - تزریق کد های SQL

وقتی بستر نرم افزاری یا پلت فرم پایگاه داده شما نتواند ورودی ها را پاکسازی نماید، مهاجمان قادر به اجرای تزریق SQL شبیه به روشی که در حملات مبتنی بر وب انجام می دهند خواهند بود، که در نهایت به آنها این امکان را می دهد که امتیازات کاربری خود را بالاتر برده و به طیف گسترده ای از عملکرد های درونی سیستم یا شبکه دسترسی یابند. بسیاری از توسعه دهندگان امنیتی به طور مرتب وصله هایی را برای جلوگیری از بروز این مشکلات منتشر می کنند، اما این اصلاحات نمی تواند برای شما کار چندانی انجام دهد اگر سیستم مدیریتی پایگاه داده یا DBMS شما بدون وصله شدن به حال اولیه رها شده باشد.

3 - اعطای حق دسترسی گسترده و بیش از حد به کاربران یا گروه ها

لازم است سازمانها و ادارات از این مسئله اطمینان حاصل کنند که امکانات دسترسی کاربران خود به کسانی که در نهایت قرار است از آنها همان استفاده ای کنند که یک سرایدار با جمع آوری کلید های مختلف روی دسته کلید و ساختن شاه کلید، اعطا نشود. (به عبارت دیگر بسیاری از امکانات مهم دسترسی برای همه کاربران کاربرد ندارد.) در عوض ، Rothacker توصیه می کند تنها کاربران معینی را در گروهها یا پست ها مشخص شده ای سازماندهی کرده و امتیازات و سطوح تعریف شده ای از دسترسی به سیستم را به آن نقش ها اعطا کنیم، که این امر مدیریت جمعی و بالابردن امنیت کلی را بسیار آسان تر از حالتی می کند که به طور مستقیم به همه کاربران حق و حقوقی بیش از حد نیازشان اعطا کنیم.

4 - فعال کردن غیر ضروری امکانات و ویژگی های پایگاه داده

در هنگام نصب هر بانک اطلاعاتی همراه با ملزومات، بسته های افزونه در اشکال و اندازه های مختلف مشاهده می شوند که اکثر انها در عمل برای برخی از سازمان ها و ارگان ها بلااستفاده محسوب می شوند. از آنجا که قاعده بازی در بحث امنیت پایگاه داده عبارت است از کاهش سطح حملات، شرکت ها باید به دنبال بسته هایی باشند که از آن هیچ گونه بهره برداری نمی شود و آنها را غیر فعال کرده و یا به طور کامل حذف کنند. این امر نه تنها باعث کاهش خطرات ناشی از حملات اولیه از طریق این بردارها می شود، بلکه در عین حال مدیریت وصله ها (Patch Management) را نیز ساده تر می کند. هنگامی که این قبیل بسته ها نیاز به سرهم بندی و پچ کردن نداشته باشند، سازمان نیازی به تقلا و کوشش زیاد نخواهد داشت.

5 - عدم مدیریت تنظیمات از هم گسیخته

به طور مشابه ، پایگاه های داده کاملا مجهز به گزینه های مختلف تنظیمات و ملاحظات در مورد انالیزور های پایگاه داده یا DBA برای تنظیم بهینه عملکرد ها و ویژگی های ارتقا یافته می باشند. لازم است سازمانها و شرکت ها مواظب اعمال تنظیمات نا امن در پایگاه داده باشند که می تواند به طور پیش فرض فعال بوده و یا به منظور سهولت برای کار با DBA ها یا توسعه دهندگان نرم افزاری این تنظیمات ضعیف اما سهل الوصول توسط افراد ناآگاه فعال گردد.

6 - سرریزهای بافری (Buffer Overflows)

یکی دیگر از روش های مورد علاقه هکرها، آسیب پذیری از طریق سرریز بافر است. این روش به این طریق مورد بهره برداری فرد نفوذ کننده قرار می گیرد که با فرستادن منابع ورودی به میزان متراکم و زیاد برای مثال با تعداد کاراکترهایی که بیشتر از حد قابل قبول برای یک برنامه کاربردی می باشد به طور مثال، یا اضافه کردن 100 کاراکتر به یک جعبه ورودی، درخواست یک SSN می کند. توسعه دهندگان نرم افزارهای بانک اطلاعات روی راه حلهایی که مانع از بروز اینگونه حملات می شوند سخت کار کرده اند. این دلیل دیگری است برای اینکه چرا معتقدیم به روز رسانی و انتشار مرتب وصله های امنیتی بسیار حیاتی است.

7 - افزایش امتیازات

به طور مشابه، پایگاه های داده اغلب از آسیب پذیری هایی مشترک رنج می برند که به فرد نفوذی اجازه افزایش امتیازات حساب خود که در ابتدا با سطح امتیاز پایین و دسترسی کم بوده را می دهد و در نهایت این فرد قادر به در اختیار گرفتن امکانات مدیریتی یا Administrator برای حساب خود می باشد. به عنوان مثال، Rothacker در این بار توضیح می دهد، یک مهاجم ممکن است از تابعی که در قسمت sysdba اجرا می شود برای مقاصد خود سوء استفاده کند. از انجا که اکثر این آسیب پذیری کشف نشده اند، مدیران نیاز به مقابله با آنها از طریق به روز رسانی های به موقع و انتشار پچ ها خواهند داشت.

8 - حمله مبتنی بر انکار دسترسی به سرویس

SQL Slammer به ارائه تصویر بسیار روشنی از این مسئله که هکرها چگونه می توانند با استفاده از آسیب پذیری های DBMS به نابود کردن سرورهای پایگاه داده از طریق یک سیل ترافیکی بپردازند پرداخته است. (SQL Slammer نوعی کرم رایانه ای بود که سبب بروز خطای Denial Of Service در برخی از میزبان ها شده و در زمان سرایت آلودگی به طرز چشمگیری سرعت کلی اینترنت در جهان را کاهش داد. این کرم در تاریخ 25 ژانویه 2003 کار خود را آغاز کرد و در کمتر از 10 دقیقه 75000 رایانه را آلوده کرد). بسیار روشن است وقتی آلودگی Slammer در سال 2003 به راه افتاد، یک پچ از قبل وجود داشت که آن آسیب پذیری و نحوه مقابله با آن را پوشش می داد. حال بعد از گذشت هفت سال ، SQL Slammer هنوز هم کماکان به کار خود ادامه می دهد و هنوز هم سرورهای پچ نشده را انتخاب می کند!

9 - پایگاه داده های پچ نشده

این مورد ممکن است تکراری باشد، اما ارزش تکرار کردن دارد. بنابراین بسیاری از مدیران پایگاه های داده اصولا اعتقادی به انتشار وصله های امنیتی جدید در موعد مقرر و به طور منظم ندارند چرا که آنها می ترسند پچ جدید سبب دگرگونی تنظیمات پایگاه داده ها گردند. اما این روز ها خطر ابتلا به هک شدن بسیار بالاتر از خطر استفاده از پچ بلا استفاده می باشد، این جمله را Rothacker می گوید. ممکن است این مسئله را پنج سال پیش کسی قبول نداشت، اما امروزه فروشندگان در مورد تست های امنیتی و استفاده از وصله های به روز خیلی جدی تر شده اند.

10 - داده های حساس کدگذاری نشده در زمان ذخیره سازی یا انتقال

شاید این مسئله کاملا بدیهی به نظر برسد و احتیاجی به بیان کردنش نباشد، اما سازمان ها هیچ گاه نباید اطلاعات حساس را در اسناد متنی واضح در داخل جدول پایگاه داده خود ذخیره کنند. و در تمام اتصالات به پایگاه داده باید همیشه از رمزنگاری استفاده شود.
شماره مجوز155/494784

فروشنده: بلوط

قیمت: 9,800 تومان

روش خرید: برای خرید آموزش بانک اطلاعاتی و پایگاه داده ها در 24 ساعت، پس از کلیک روی دکمه زیر و تکمیل فرم سفارش، ابتدا محصول یا محصولات مورد نظرتان را درب منزل یا محل کار تحویل بگیرید، سپس وجه کالا و هزینه ارسال را به مامور پست بپردازید. جهت مشاهده فرم خرید، روی دکمه زیر کلیک کنید.