研究人員發現攻擊Oracle數據庫的新方法

歡迎進入Oracle社區論壇，與200萬技術人員互動交流 >>進入 上周，安全研究專家David Litchfield發現了一種能讓黑客訪問Oracle數據庫的新攻擊方法，并發表了關于這個新攻擊類型的技術細節。 這種新的攻擊方法被稱為側面SQL注入（lateral SQL injection），利

歡迎進入Oracle社區論壇，與200萬技術人員互動交流 >>進入

上周，安全研究專家David Litchfield發現了一種能讓黑客訪問Oracle數據庫的新攻擊方法，并發表了關于這個新攻擊類型的技術細節。

這種新的攻擊方法被稱為側面SQL注入（lateral SQL injection），利用這個方法能夠非法獲取Oracle服務器上的數據庫管理員權限，這樣就可以修改或刪除數據庫的數據，甚至還可以在服務器上安裝軟件。

Litchfield在二月的黑客大會上首次披露了這種類型的攻擊，并在上周四發表了一篇文章里詳細講述了關于這種工具的技術細節問題。

在SQL注入攻擊中，攻擊者往往會巧妙地設計一些搜索條件，騙過數據庫運行非法的SQL指令。在此之前，安全專家都一直認為SQL注入只有在攻擊者將字符型字符串輸入到數據庫的情況下才會生效，但Litchfield在文章中展示了用新的日期和數字數據類型也能進行SQL注入攻擊。這種攻擊的目標編程語言是廣為Oracle開發人員所使用的Procedural語言和SQL語言。

Litchfield并不確定這種側面SQL攻擊漏洞是否廣泛存在，不過他認為這種攻擊有可能會在某些情況下引發嚴重的損害。如果你正好使用的是Oracle數據庫，而且你在數據庫上編寫了自己的應用程序，那么你可能會編寫進了帶有漏洞的代碼。雖然這不是什么可以讓天塌下來的大事，不過大家都應當對此有所警覺。

數據庫程序員應當檢查他們的代碼，確保所有對于數據的處理都是合法的而不是注入的SQL指令。

Oracle目前還沒有對此發表任何回應性的評論。

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com