预警即预防:6大常见数据库安全漏洞

简介: 本文讲的是预警即预防:6大常见数据库安全漏洞,总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据。然后,更多不那么聪明的黑客不断重复老旧套路——因为同样老旧的漏洞一直在全球各个企业里涌现。

本文讲的是 预警即预防:6大常见数据库安全漏洞,总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据。然后,更多不那么聪明的黑客不断重复老旧套路——因为同样老旧的漏洞一直在全球各个企业里涌现。

image

无论如何,数据泄露总是破坏性的;但更糟的是,要怎么向受影响的用户、投资人和证监会交代呢?一家公司上千万用户的个人数据,总不会自己长脚跑到黑市上躺着被卖吧?于是,在各种监管机构找上门来问一些很难堪的问题之前,我们还是来看看这几个最常见的数据库安全漏洞吧。

数据库安全重要性上升

只要存储了任何人士的任意个人数据,无论是用户还是公司员工,数据库安全都是重中之重。然而,随着黑市对数据需求的上升,成功数据泄露利润的上涨,数据库安全解决方案也就变得比以往更为重要了。尤其是考虑到2016年堪称创纪录的数据泄露年的情况下。

身份盗窃资源中心的数据显示,美国2016年的数据泄露事件比上一年增长了40%,高达1,093起。商业领域是重灾区,紧随其后的是医疗保健行业。政府和教育机构也是常见目标。

常见数据库漏洞

  1. 部署问题

这就是数据库安全版的博尔特一蹬出起跑器就被鞋带绊倒。数据库经过广泛测试以确保能胜任应该做的所有工作,但有几家公司肯花时间保证数据库不干点儿什么不应该干的事儿呢?

解决办法:这个问题的解决办法十分明显:部署前做更多的测试,找出可被攻击者利用的非预期操作。

  1. 离线服务器数据泄露

公司数据库可能会托管在不接入互联网的服务器上,但这并不意味着对基于互联网的威胁完全免疫。无论有没有互联网连接,数据库都有可供黑客切入的网络接口。

解决办法:首先,将数据库服务器当成联网服务器一样看待,做好相应的安全防护。其次,用SSL或TSL加密通信平台加密其上数据。

  1. 错误配置的数据库

有太多太多的数据库都是被老旧未补的漏洞或默认账户配置参数出卖的。个中原因可能是管理员手头工作太多忙不过来,或者因为业务关键系统实在承受不住停机检查数据库的损失。无论原因为何,结果就是这么令人唏嘘。

解决办法:在整个公司中树立起数据库安全是首要任务的氛围,让数据库管理员有底气去花时间恰当配置和修复数据库。

  1. SQL注入

SQL注入不仅仅是最常见的数据库漏洞,还是开放网页应用安全计划(OWASP)应用安全威胁列表上的头号威胁。该漏洞可使攻击者将SQL查询注入到数据库中,达成读取敏感数据、修改数据、执行管理操作乃至向操作系统发出指令等目的。

解决办法:开发过程中,对输入变量进行SQL注入测试。开发完成后,用防火墙保护好面向Web的数据库。

  1. 权限问题

涉及访问权限,数据库面临两大主要问题:

员工被赋予超出工作所需的过多权限;
合法权限被未授权或恶意使用。
解决办法:权限分发时遵循最小权限原则,仅给员工赋予完成工作所需最小权限。数据库访问也要受到严格监视,确保员工权限仅用于经授权的操作。员工离职时需立即撤销分发给他/她的权限。

  1. 存档数据

与上一条相关,无论出于报复还是利益,员工通过盗取数据库备份获得大量个人资料的事屡见不鲜。

解决办法:加密存档数据,严密监视存档数据访问和使用情况,可以大幅减少内部人威胁。

常见后果

2016这个无比繁忙的数据泄露年的全部影响尚未真正显现。最初的伤害作用在受影响企业身上,包括公关灾难、负面报道和用户及员工信誉损失。监管处罚和集体诉讼的赔款会在更晚些时候兑现。最终,企业会损失千百万美元的罚金和赔款,还有更巨量的收益损失,所有这一切都源于最常见的数据库安全漏洞。是时候把常见转变为少见了,而第一步,就是意识。

原文发布时间为:六月 12, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/25857.html

相关文章
|
SQL 存储 关系型数据库
WEB应用程序数据库防守篇之预防SQL漏洞注入
主要介绍SQL注入的危害会引发的后果以及如何预防等
446 1
WEB应用程序数据库防守篇之预防SQL漏洞注入
|
7月前
|
开发框架 安全 .NET
某教程学习笔记(一):07、数据库漏洞(access注入)
某教程学习笔记(一):07、数据库漏洞(access注入)
53 0
|
7月前
|
XML SQL 安全
某教程学习笔记(一):08、MSSQL数据库漏洞
某教程学习笔记(一):08、MSSQL数据库漏洞
48 0
|
7月前
|
安全 关系型数据库 MySQL
某教程学习笔记(一):09、MYSQL数据库漏洞
某教程学习笔记(一):09、MYSQL数据库漏洞
59 0
|
Java 关系型数据库 MySQL
JSP大学生动态预警系统myeclipse开发mysql数据库javaB/s结构jsp编程
JSP 大学生动态预警系统是一套完善的web设计系统,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发系统主要采用B/S模式开发。
91 0
|
安全 算法 关系型数据库
一天自动发现四大数据库100+漏洞,浙大研究获SIGMOD 2023最佳论文
一天自动发现四大数据库100+漏洞,浙大研究获SIGMOD 2023最佳论文
407 0
|
安全 关系型数据库 MySQL
某教程学习笔记(一):09、MYSQL数据库漏洞
某教程学习笔记(一):09、MYSQL数据库漏洞
105 0
某教程学习笔记(一):09、MYSQL数据库漏洞
|
XML SQL 安全
某教程学习笔记(一):08、MSSQL数据库漏洞
某教程学习笔记(一):08、MSSQL数据库漏洞
105 0
某教程学习笔记(一):08、MSSQL数据库漏洞
|
SQL 存储 开发框架
某教程学习笔记(一):07、数据库漏洞(access注入)
某教程学习笔记(一):07、数据库漏洞(access注入)
100 0
某教程学习笔记(一):07、数据库漏洞(access注入)
|
SQL 存储 监控
MySQL数据库安全性考虑:预防SQL注入漏洞
随着互联网的快速发展,数据库成为了现代应用程序中的重要组成部分。而在数据库的使用过程中,安全性一直是一个重要的关注点。SQL注入漏洞(SQL Injection)是一种常见的数据库安全漏洞,攻击者可以通过在应用程序的用户输入参数中注入恶意的SQL代码,从而获得对数据库的未授权访问权限。为了保护MySQL数据库免受SQL注入漏洞的威胁,以下是一些预防SQL注入漏洞的安全性考虑。