从数据库安全漏洞的成因分析,数据库漏洞主要可以划分为两大类,一是:应用程序逻辑漏洞;二是:数据库软件漏洞。但是不管是哪种漏洞,攻击者最终的目标都是通过漏洞获取数据库中的敏感数据。
应用程序逻辑漏洞是指出在应用开发过程中,由于应用程序开发人员的疏忽和遗漏造成的应用程序端的漏洞,这种漏洞一般是在应用端的代码漏洞,它的典型代表也是广泛被攻击者利用的就是SQL注入漏洞。
数据库软件漏洞的成因非常复杂,这主要是因为数据库软件自身非常复杂,包含了大量的逻辑关系。数据库设计开发人员在设计和开发这些逻辑的过程中因为疏忽或遗漏造成数据库漏洞的形成,从而导致数据库存在大量的安全漏洞。这些漏洞主要包括:数据库端的SQL注入、提权、缓冲区溢出攻击等……正是这些漏洞的存在,使得攻击者能够成功攻陷数据库,从中获取敏感数据。
数据库软件主要包含三个主要组件:网络监听组件和关系型数据库管理系统以及SQL编程组件(例如pl/sql)。
l 网络监听组件一般是数据库通讯的中心。监听往往不光负责接受网络请求,还要进行数据库身份验证的检验。
l 关系型数据库管理系统主要用来保证整个数据库高效、有序的运行。
l SQL编程组件主要带给数据库一定的SQL扩展能力。例如ORACLE的PL/SQL。Pl/sql是基于ADA语言开发的,最早出现在Oracle 6逐渐发展到现在可以实现存储过程、创建自定义函数、实现触发器和以外部库的方式调用C函数和JAVA。
这三个组件是数据库的核心,同时也是数据库安全中最易受到威胁的部分。根据数据库被入侵的方式来分可以分成针对数据库的四种漏洞威胁。接下来的文章,我们将对这四种数据库安全漏洞威胁逐一展开说明。
产品咨询:4000 258 365 
