下载后可任意编辑数据库安全审计常见 8 种缺陷作者 安华金和 刘晓韬随着信息化的进展,数据库安全问题成为当前政府和企事业单位用户关注的焦点,数据库审计产品已经成为当前信息安全产品的盛宠。当前在市面上存在着几十种数据库审计产品,这些产品集中起来大约可分四种类型:(1)在网络审计产品的基础上经过简单包装推出数据库审计产品的既有网络审计产品厂商,比如国内几大安全厂商推出的数据库审计产品,安全圈都知道,不再例举;(2)针对数据库通讯协议的特点开发出专门的数据库审计产品的国内细分领域安全厂商,比如安华金和、思福迪、国都兴业、帕拉迪等;(3)国外的数据库审计产品,比如 Imperva、Guardium 等;(4)OEM 第三方的数据库审计产品,OEM 对象可能来自国内,也可能来自国外,比如 Imperva 或韩国的 DBInsight。随着国产化采购政策的推动,处于安全性的考虑,国外数据库审计产品,不在本文的评论范围内。笔者将重点对国内数据库审计产品常见缺陷进行分析。以下分门别类,针对最常见的 8 类数据库安全审计产品缺陷展开讲解。长 SQL 语句漏审大多数的 SQL 语句都在 1K 以里长度,市面上的数据库审计产品大多都能准确记录下,也能实现正常的解析;但在 SQL 语句超过 1.5K 时,很多的数据库审计产品就会发生漏审,或者只能审计下部分 SQL 语句。一般 Oracle 一个通讯包的长度在 2K,单一包内能够容纳的语句长度大约在 1.4K 多一点(大约为 1460);超过这个大小的 SQL 语句一般会拆分成多包;在 Oracle 11g 下通常通讯包为 2K,最大可以达到 8K;对于 Oracle 数据库没有明确说明可兼容的 SQL 语句的长度,有的说 32K 或 64K 是个临界点,但笔者也曾作过尝试 2M 做的 SQL 语句也能发送并被 Oracle 正常解析。对于一些数据库审计产品,由于没有将多个 SQL 通讯包进行有效解析和关联,在发生长 SQL 语句时会发生无法解析或解析不全的情况;具体表现是,对于长 SQL 语句并未记录,或仅记录了前半部分。这种情况的危害是,对于有些业务系统中自身就包含长 SQL 语句,比如经分系统,报表系统,这些 SQL 语句会被漏记;同时,一些黑客或攻击人员会利用这样的一些漏洞,进行数据库攻击而不留下痕迹。比如,若某个数据库审计产品,是基于单包解析机制进行的,© 2024 www.dbsec.cn下载后可任意编辑则对于超过 1.5K 的 SQL 语句无法记录或仅记录了前 1.5K,则攻击者可...
VIP
