1. 数据库未及时修复漏洞
数据库管理员担心修复最新漏洞会影响功能,但是却不担心修复周期无限期拖延会让最业余的攻击者都能够窃取大量数据。
“一些大漏洞会在每个补丁中进行修复,而利用代码也总是可以在网上找到,攻击者可以剪切粘贴来用于攻击,”Application Security公司的首席技术官Josh Shaul表示。
2. 没有寻找流氓数据库
对于你不知道的数据库,你无法确保其安全,Fortinet公司产品营销副总裁Patrick Bedwell表示,他经常发现客户不会保持他们数据库的库存,或者扫描流氓数据库,这是一个问题,因为确实存在流氓数据库。
“常见的做法试安装小型footprint数据库,并在数据库中装满供开发和测试使用的生产数据,”Bedwell表示。
攻击者很喜欢企业不追踪流氓数据库,因为这些数据库通常都是没打补丁的,大门敞开的,因为安全团队并没有注意它们。
3. 给予过多特权
当时间很紧急,资源有限时,企业很容易忽略用户的权限,可能只是将特权给予整个用户群,然后去忙别的事情了,Imperva公司高级安全策略师Noa Bar Yosef表示。但是只要一个用户滥用这些特权就可能造成巨大的问题。
“考虑Diablo Valley社区学院的情况,三年以来,他们都让数据库管理员修改学生的成绩,”她表示,“当数据泄漏曝光后,他们发现在授予数据库管理员权限的100名用户中,只有11名用户真正需要这个权限。”
给予过多权限的问题在于,用户不仅可以做他们不应该做的事情,而且他们不会受到制裁,因为那些行为并没有被预料,Application Security公司的研究部门经理Alex Rothacker表示。
“给予过多权限的侧面影响在于,用户可以在他们没有授权的数据库或者操作系统进行操作,”他表示,“例如,在应付帐款部门具有特权的用户可以创造一个虚假的公司,向这个公司支付费用,然后删除所有关于该公司的记录以掩盖他们的踪迹。”
4. 允许使用默认用户名/密码
使用默认用户名和密码就像为数据库盗贼敞开大门一样。但是很多公司仍然这样做,因为很多应用程序输入数据库信息都是与默认帐户同步的,更改密码可能会破坏某些东西。
5. 没有自我检查
仔细检查你的用户在做什么,数据库是如何被使用的,数据库容易受到哪种类型的攻击等。
然而大部分安全专家同意,大多数企业没有监测用户或者审计数据库行为,因为他们并不担心会受到行为。
“这是一个不能停歇的战斗,安全专业人士需要依赖于审计和数据库管理员,同时又需要更好的性能。在为客户提供服务方面,性能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最后,或者说发生数据泄漏的时候,他们才会知道发现、恢复和问责制的重要性。”
根据安全咨询公司Brainlink公司首席技术官Rajesh Goel表示,很多公司还会否定安全评估或者渗透测试人员将数据库放在攻击考虑范围内,即便这是恶意攻击者最先瞄准的目标。
6. 允许任意互联网连接和输入
当数据库连接到互联网时,任意客户端都可以不受限制地访问数据库,这样的话,不好的事情也将发生。
“这意味着SQL注入攻击将造成毁灭性影响,将泄漏任意数据,”Arbor Networks公司安全研究高级经理Jose Nazario表示,“将权利和角色分开还有很长一段路要走,可以使用只读角色来用于web服务。”
同样的,用户输入需要被监测以防止注入和拒绝服务攻击,并且不受新人的用户应该永远不能过直接查询表格或者数据库对象名称,例如表格、函数或者视图。
7.没有加密
根据403 Web Security公司首席执行官Alan Wlasuk表示,最简单最愚蠢的数据库安全错误就是没有加密他们的数据库。
“这样就能让攻击者最终进入你的数据库,攻击者很难进入加密的数据库,加密是免费、快速和易于使用的。”
