数据库的入侵防范上一篇我们分析了对弱口令或默认用户名/口令的破解,这一篇我们来分析第二种方法手段,它就是特权的提升。
特权提升:
有几种内部人员攻击的方法可以导致恶意的用户占有超过其应该具有的系统特权。而且外部的攻击者有时通过破坏操作系统而获得更高级别的特权。应用安全公司的销售副总裁Ted Julian说,“这是一种常见的威胁因素。”
特权提升通常更多地与错误的配置有关:一个用户被错误地授与了超过其实际需要用来完成工作的、对数据库及其相关应用程序的访问和特权。
Forrester的Yuhanna说,“这是一个控制问题。有时一个企业并没有提供哪些人员需要访问何种资源的良好框架结构,而且通常情况下,数据库管理员并没有从业务上理解企业的数据。这是问题之一。”
而且,有时一个内部的攻击者(或者一个已经控制了受害人机器的外部的家伙)可以轻松地从一个应用程序跳转到数据库,即使他并没有这个数据库的相关凭证也可以如此。Yuhanna 说,“一个非特权用户可以试着连接到数据库,只要他可以访问一个系统,如CRM,他就可以用同样的口令通过检查,即使他没有获得此数据库的授权。有些控制并没有实现很好的集中化。”
Sentrigo的Markovich近来能够通过一个拥有少量特权的用户账户攻入一个客户的数据库。Markovich说,“他们要求我攻入其数据库。我找到了一个少量特权的用户口令,然后就进入了系统。然后我检查了他的特权,他拥有对数据库的只读性访问,因此一个少量特权的用户可以访问读取数据库内的任何表,包括信用卡信息、个人信息。因此,我说:‘我不需要攻入数据库。’”
专家们说,经验法则应当说是仅给用户所需要的数据库访问和权力,不要有更多的东西。
还有那些拥有合法访问的特权用户,他们头脑中可能并没有合法的操作。“你如何控制访问呢?这个领域也正在开始演化。”