热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

研究人员发现攻击Oracle数据库的新方法

欢迎进入Oracle社区论坛,与200万技术人员互动交流进入上周,安全研究专家DavidLitchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。这种新的攻击方法被称为侧面SQL注入(lateralSQLinjection),利

欢迎进入Oracle社区论坛,与200万技术人员互动交流 >>进入 上周,安全研究专家David Litchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。 这种新的攻击方法被称为侧面SQL注入(lateral SQL injection),利

欢迎进入Oracle社区论坛,与200万技术人员互动交流 >>进入

上周,安全研究专家David Litchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。

这种新的攻击方法被称为侧面SQL注入(lateral SQL injection),利用这个方法能够非法获取Oracle服务器上的数据库管理员权限,这样就可以修改或删除数据库的数据,甚至还可以在服务器上安装软件。

Litchfield在二月的黑客大会上首次披露了这种类型的攻击,并在上周四发表了一篇文章里详细讲述了关于这种工具的技术细节问题。

在SQL注入攻击中,攻击者往往会巧妙地设计一些搜索条件,骗过数据库运行非法的SQL指令。在此之前,安全专家都一直认为SQL注入只有在攻击者将字符型字符串输入到数据库的情况下才会生效,但Litchfield在文章中展示了用新的日期和数字数据类型也能进行SQL注入攻击。这种攻击的目标编程语言是广为Oracle开发人员所使用的Procedural语言和SQL语言。

Litchfield并不确定这种侧面SQL攻击漏洞是否广泛存在,不过他认为这种攻击有可能会在某些情况下引发严重的损害。如果你正好使用的是Oracle数据库,而且你在数据库上编写了自己的应用程序,那么你可能会编写进了带有漏洞的代码。虽然这不是什么可以让天塌下来的大事,不过大家都应当对此有所警觉。

数据库程序员应当检查他们的代码,确保所有对于数据的处理都是合法的而不是注入的SQL指令。

Oracle目前还没有对此发表任何回应性的评论。


推荐阅读
  • MySQL 数据库迁移指南:从本地到远程及磁盘间迁移
    本文详细介绍了如何在不同场景下进行 MySQL 数据库的迁移,包括从一个硬盘迁移到另一个硬盘、从一台计算机迁移到另一台计算机,以及解决迁移过程中可能遇到的问题。 ... [详细]
  • 深入理解 SQL 视图、存储过程与事务
    本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式,存储过程则封装了复杂的SQL逻辑,而事务确保了数据库操作的完整性和一致性。 ... [详细]
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • Startup 类配置服务和应用的请求管道。Startup类ASP.NETCore应用使用 Startup 类,按照约定命名为 Startup。 Startup 类:可选择性地包括 ... [详细]
  • 网易严选Java开发面试:MySQL索引深度解析
    本文详细记录了网易严选Java开发岗位的面试经验,特别针对MySQL索引相关的技术问题进行了深入探讨。通过本文,读者可以了解面试官常问的索引问题及其背后的原理。 ... [详细]
  • 科研单位信息系统中的DevOps实践与优化
    本文探讨了某科研单位通过引入云原生平台实现DevOps开发和运维一体化,显著提升了项目交付效率和产品质量。详细介绍了如何在实际项目中应用DevOps理念,解决了传统开发模式下的诸多痛点。 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • 本章详细介绍SP框架中的数据操作方法,包括数据查找、记录查询、新增、删除、更新、计数及字段增减等核心功能。通过具体示例和详细解析,帮助开发者更好地理解和使用这些方法。 ... [详细]
  • 本文详细介绍如何使用Python进行配置文件的读写操作,涵盖常见的配置文件格式(如INI、JSON、TOML和YAML),并提供具体的代码示例。 ... [详细]
  • 网络攻防实战:从HTTP到HTTPS的演变
    本文通过一系列日记记录了从发现漏洞到逐步加强安全措施的过程,探讨了如何应对网络攻击并最终实现全面的安全防护。 ... [详细]
  • 本文详细分析了Hive在启动过程中遇到的权限拒绝错误,并提供了多种解决方案,包括调整文件权限、用户组设置以及环境变量配置等。 ... [详细]
  • 利用存储过程构建年度日历表的详细指南
    本文将介绍如何使用SQL存储过程创建一个完整的年度日历表。通过实例演示,帮助读者掌握存储过程的应用技巧,并提供详细的代码解析和执行步骤。 ... [详细]
  • MySQL缓存机制深度解析
    本文详细探讨了MySQL的缓存机制,包括主从复制、读写分离以及缓存同步策略等内容。通过理解这些概念和技术,读者可以更好地优化数据库性能。 ... [详细]
  • SQLite 动态创建多个表的需求在网络上有不少讨论,但很少有详细的解决方案。本文将介绍如何在 Qt 环境中使用 QString 类轻松实现 SQLite 表的动态创建,并提供详细的步骤和示例代码。 ... [详细]
  • 配置PHPStudy环境并使用DVWA进行Web安全测试
    本文详细介绍了如何在PHPStudy环境下配置DVWA( Damn Vulnerable Web Application ),并利用该平台进行SQL注入和XSS攻击的练习。通过此过程,读者可以熟悉常见的Web漏洞及其利用方法。 ... [详细]
author-avatar
-MP5
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有