ورود

View Full Version : آسیب پذیری های جدید کشف شد در دیتابیس ها


mammad_asir
پنج شنبه 15 اسفند 1392, 12:44 عصر
از چند آسیب پذیری جدید کشف شده در دیتابیس ها میخوام کسی میتونه کمک کنه؟( تاریخچه و چگونگی کار کردن نحوه رفع آن در حد چند خط)
میتونه تو هر دیتابیسی باشه یا کلی باشه
رسول_57
شنبه 17 اسفند 1392, 22:31 عصر
مهمترین دلایل آسیب پذیری پایگاه داده :

1-یوزر و پسور های ضعیف ، خالی و پیش فرض : معمولا یک پایگاه داده ممکن است شامل صدها یا هزاران نام کاربری و پسورد باشد که بسیاری از آنها خالی ، یا مقادیر پیش فرض و یا تاریخ تولد و ... است . این موارد معمولا باعث حمله هکرهای هوشمند می گردد .

2-حملات SQL: در این روش معمولا هکرها با استفاده از یک نام کاربر جعلی می توانند رول های مهم را به خود اختصاص داده و با قابلیت های بیشتر دستورالعمل های SQL مخرب را اجرا کنند .

3-حق دسترسی های کاربری و یا گروهی گسترده : یکی از اشتباهاتی که مدیران پایگاه داده انجام می دهند این است که قابلیت های بسیار وسیع و حتی در سطح مدیران پایگاه داده (برای سادگی کار) به کاربران می دهند که این موضوع می تواند باعث سوء استفاده کاربران متخلف شود .

4-خصوصیات فعال شده غیر ضروری پایگاه داده : معمولا در هنگام نصب پایگاه داده ، پکیج های جانبی موجود است که معمولا مورد استفاده قرار نمی گیرد ولی نصب آنها و معمولا عدم استفاده از آنها محیط مناسبی برای فعالیت حمله کنندگان فراهم می سازد .

5-مدیریت پیکره بندی شکسته شده : معمولا در هنگام نصب پایگاه داده ، پیکره بندی های مختلفی را می توان انتخاب کرد . ساده ترین راه پیکره بندی برای راحتی کار مدیران پایگاه داده معمولا استفاده می گردد ولی این ساده ترین روش معمولا غیر ایمن ترین روش ممکن می باشد .

6-سرریز بافر : در این روش هکرها مجموعه وسیعی از داده های ورودی را به اپلیکیشنی ارجاع می دهند که اطلاعات کمی مورد نیازش است و در نتیجه با این حجم وسیع داده ها و تعداد مکرر ارسال ، پایگاه داده را از دور خارج می سازند .

7-توسعه حق دسترسی : در این روش ، معمولا کاربران با استفاده از حق دسترسی جزئی و با اجرای برنامه های خلاقانه حق دسترسی خود را گسترش داده و به حقوق دسترسی بالا می رسند . معمولا با استفاده از پک های آپدیت پایگاه داده می توان این نوع حمله را از بین برد .

8-سیل درخواست سرویس : در این روش با استفاده از اجرای اپلیکیشن هایی که سرویس های مختلفی را به صورت پیوسته و بسیار زیادی درخواست می کنند باعث خوابیدن سرور پایگاه داده می شوند .

9-پایگاه داده تقسیم نشده : بسیاری از مدیران پایگاه داده در دوره های زمانی مشخص ، پایگاه داده را تقسیم نمی کنند زیرا می ترسند که استحکام پایگاه داده خدشه دار شود و در نتیجه امکان حمله هکرها را بالاتر می برند .

10-ذخیره سازی داده های حساس به صورت متن واضح : همواره باید سعی شود داده های حساس رمزنگاری گردد و گرنه طعمه خوبی برای حمله کنندگان خواهد بود .