本站已运行

攻城狮论坛

作者: 合肥清默
查看: 6692|回复: 73

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

三个最严重的数据库安全问题

  [复制链接]
查看: 6692|回复: 73
开通VIP 免金币+免回帖+批量下载+无广告
数据库的安全问题一直以来就是DBA的噩梦,那些不安全的Web应用程序、没有有效的认证管理以及管理配置不当的分段都可能让数据库处于危险之中。当然,如果你的数据库系统没有部署流量监控或加密技术,数据库安全也可以说是不完整的。但是大多数安全从业人员都知道往往数据库安全的有效性在数据库环境外部和内部差不多。

而实际上在数据的存储过程中通常因为IT基础架构层的安全性较差而导致了更多的数据泄漏。因而产生了三个严重的安全问题:

1、不安全的Web应用程序

尽管OWASP等组织在过去几年中积极传播最佳的安全编程方法,但事实是互联网中仍然存在数百万存在漏洞的Web应用程序,这些应用程序将用户引导到哪里?当然是到后端数据库。Accuvant LABS首席安全架构师,同时也是著名数据库安全研究人员David Litchfield表示,缩小漏洞差距的进展非常缓慢。

Litchfield表示:“这相当令人沮丧,尤其是看到几年前开始使用的相同工具包到现在仍然能够很好地用于渗透测试时。最糟糕的部分就是开发人员仍然开发出存在以前相同错误的新应用程序,例如,无法验证输入。”他表示,高等教育机构仍然没有教授学生多年前开发出来的安全编程原则,你以为这些从大学毕业的开发人员会知道这些基本知识,但是其实他们并没有学过。

2、泛滥的数据库系统特权账户

即使是在整个IT基础设施部署了高效身份和访问管理工具和程序的企业,数据库往往都处于无人看管的状况。“企业经常忘记将数据库用户的身份生命周期管理绑定到他们的IAM核心中,尤其是共享账户和服务账户,”Identropy首席架构师Nishant Kaushik表示,“数据库访问必须与配置、强大的身份验证和特权账户管理工具配合工作。”

但事实上,IT部门往往允许开发人员和其他IT系统管理员通过几乎无限制权限的系统账户来进入数据库。这些账户经常在访问控制或监控系统的控制之外被使用,并且很容易被内部人员滥用或者被外部攻击人员用于发动数据库攻击。

3、错误配置的网络分段

安全最佳做法和法规都大肆吹捧网络分段是控制风险范围以保护高价值数据库资产的重要方式。但是如果配置不当的话,尤其是在防火墙的规则集中,这些网络分段的安全漏洞都可能让数据库泄露。安全咨询公司Principle Logic公司的创始人Kevin Beaver花了大部分时间在为客户执行网络安全和web应用程序安全评估的工作上。他的评估结果经常显示企业在分段网络时糟糕的工作情况。

“我会看看企业的防火墙规则集,找到各种漏洞和错误配置情况,并且有些网络分段还无法互相通信,端口开放等问题。我经常看到数据库服务器位于公共互联网中,很容易受到攻击,”他表示,“在不久以前我还看到过这样一个案例,因为业务合作伙伴的要求,一家公司将其SQL服务器数据库放在互联网上,而后又忘记了这件事,直到出现数据泄露事故他们才意识到问题所在。”


& @$ t. }3 B) Q8 {4 p( Z" H* D$ q
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

zuown [Lv8 技术精悍] 发表于 2013-10-15 09:31:36 | 显示全部楼层
赞一个
回复 支持 反对

使用道具 举报

seoul [Lv8 技术精悍] 发表于 2013-10-15 19:39:18 | 显示全部楼层
相当不错,感谢无私分享精神!
回复 支持 反对

使用道具 举报

lg6041 [Lv7 精益求精] 发表于 2013-10-17 17:23:03 | 显示全部楼层
我是个凑数的。。。
回复 支持 反对

使用道具 举报

fashion630 [Lv8 技术精悍] 发表于 2013-10-20 10:09:42 | 显示全部楼层
我是来刷分的,嘿嘿
回复 支持 反对

使用道具 举报

Firedog [Lv8 技术精悍] 发表于 2013-10-20 23:53:58 | 显示全部楼层
帮帮顶顶!!
回复 支持 反对

使用道具 举报

Doverbaby [Lv7 精益求精] 发表于 2013-10-21 15:44:36 | 显示全部楼层
回复 支持 反对

使用道具 举报

zumid [Lv8 技术精悍] 发表于 2013-10-22 18:35:41 | 显示全部楼层
回复 支持 反对

使用道具 举报

jyb75820400 [Lv8 技术精悍] 发表于 2013-10-23 22:18:05 | 显示全部楼层
写的真的很不错
回复 支持 反对

使用道具 举报

yoogoo [Lv8 技术精悍] 发表于 2013-10-24 18:28:03 | 显示全部楼层
沙发!沙发!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2026-7-5 14:50 , Processed in 0.101738 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn