热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

研究人员发现攻击Oracle数据库的新方法

欢迎进入Oracle社区论坛,与200万技术人员互动交流进入上周,安全研究专家DavidLitchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。这种新的攻击方法被称为侧面SQL注入(lateralSQLinjection),利

欢迎进入Oracle社区论坛,与200万技术人员互动交流 >>进入 上周,安全研究专家David Litchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。 这种新的攻击方法被称为侧面SQL注入(lateral SQL injection),利

欢迎进入Oracle社区论坛,与200万技术人员互动交流 >>进入

上周,安全研究专家David Litchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。

这种新的攻击方法被称为侧面SQL注入(lateral SQL injection),利用这个方法能够非法获取Oracle服务器上的数据库管理员权限,这样就可以修改或删除数据库的数据,甚至还可以在服务器上安装软件。

Litchfield在二月的黑客大会上首次披露了这种类型的攻击,并在上周四发表了一篇文章里详细讲述了关于这种工具的技术细节问题。

在SQL注入攻击中,攻击者往往会巧妙地设计一些搜索条件,骗过数据库运行非法的SQL指令。在此之前,安全专家都一直认为SQL注入只有在攻击者将字符型字符串输入到数据库的情况下才会生效,但Litchfield在文章中展示了用新的日期和数字数据类型也能进行SQL注入攻击。这种攻击的目标编程语言是广为Oracle开发人员所使用的Procedural语言和SQL语言。

Litchfield并不确定这种侧面SQL攻击漏洞是否广泛存在,不过他认为这种攻击有可能会在某些情况下引发严重的损害。如果你正好使用的是Oracle数据库,而且你在数据库上编写了自己的应用程序,那么你可能会编写进了带有漏洞的代码。虽然这不是什么可以让天塌下来的大事,不过大家都应当对此有所警觉。

数据库程序员应当检查他们的代码,确保所有对于数据的处理都是合法的而不是注入的SQL指令。

Oracle目前还没有对此发表任何回应性的评论。


推荐阅读
  • 尽管PHP是一种强大且灵活的Web开发语言,但开发者在使用过程中常会陷入一些典型的陷阱。本文旨在列出PHP开发中最为常见的10种错误,并提供相应的预防建议。 ... [详细]
  • 本文探讨了Web开发与游戏开发之间的主要区别,旨在帮助开发者更好地理解两种开发领域的特性和需求。文章基于作者的实际经验和网络资料整理而成。 ... [详细]
  • 前言无论是对于刚入行工作还是已经工作几年的java开发者来说,面试求职始终是你需要直面的一件事情。首先梳理自己的知识体系,针对性准备,会有事半功倍的效果。我们往往会把重点放在技术上 ... [详细]
  • 应对.avast后缀勒索病毒:全面指南
    本文详细介绍了.avast后缀勒索病毒的特性、感染途径、恢复方法及预防措施,旨在帮助用户有效应对这一威胁。 ... [详细]
  • 本文将详细介绍如何在ThinkPHP6框架中实现多数据库的部署,包括读写分离的策略,以及如何通过负载均衡和MySQL同步技术优化数据库性能。 ... [详细]
  • 迎接云数据库新时代:程序员如何应对变革?
    在数据无处不在的时代,数据库成为了管理和处理数据的核心工具。从早期的信息记录方式到现代的云数据库,数据库技术经历了巨大的变革。本文将探讨云数据库的特点及其对程序员的影响。 ... [详细]
  • 本文详细列举了软件开发中常见的功能测试要点,涵盖输入框、搜索、添加/修改、删除、文件上传下载等多个方面,旨在帮助测试人员全面覆盖测试需求,确保软件质量。 ... [详细]
  • 如何从python读取sql[mysql基础教程]
    从python读取sql的方法:1、利用python内置的open函数读入sql文件;2、利用第三方库pymysql中的connect函数连接mysql服务器;3、利用第三方库pa ... [详细]
  • TortoiseSVN与VisualSVN Server的安装及基本操作指南
    本文详细介绍了如何安装VisualSVN Server以及TortoiseSVN客户端,并提供了基本的操作步骤,包括配置仓库、用户管理及权限设置等关键环节。 ... [详细]
  • MySQL 'Too Many Connections' 错误处理及优化方案
    本文详细介绍了如何诊断和解决MySQL数据库中出现的‘Too Many Connections’错误,包括查看当前连接状态、调整配置文件以及优化应用代码等方法。 ... [详细]
  • 本文详细介绍了MySQL中的存储过程,包括其定义、优势与劣势,并提供了创建、调用及删除存储过程的具体示例,旨在帮助开发者更好地利用这一数据库特性。 ... [详细]
  • 请看|间隔时间_Postgresql 主从复制 ... [详细]
  • 本文详细探讨了在服务器上运行的PostgreSQL数据库出现'内存不足'错误的具体情况,并提供了一系列有效的解决策略。通过本文,读者将能够更好地理解这一常见问题及其背后的原理。 ... [详细]
  • HTTPS与TLS/SSL协议详解:握手及记录协议
    HTTPS,即HTTP over TLS/SSL,通过在HTTP通信层引入安全协议,确保数据传输的安全性。本文将深入探讨TLS/SSL协议的基本概念、HTTPS的必要性,以及TLS握手和记录协议的工作原理。 ... [详细]
  • Waymo大规模采购FCA车型,软银巨资加码Cruise,无人驾驶商业化步伐加快
    近期,无人驾驶领域迎来两项重大进展:软银以22.5亿美元投资通用汽车旗下的Cruise Automation,同时Waymo宣布向菲亚特克莱斯勒采购62000辆厢式车。这些动向不仅提升了行业信心,也为无人驾驶技术的商业化铺平了道路。 ... [详细]
author-avatar
-MP5
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有