|
|
知识路径: > 数据库系统安全 > 数据库安全概况 > 数据库安全威胁 >
|
|
相关知识点:18个
|
|
|
|
|
数据库所处的环境日益开放,所面临的数据库安全威胁日益增多,主要阐述如下:
|
|
|
|
(1)授权的误用(Misuses of Authority)。合法用户越权获得他们不应该获得的资源,窃取程序或存储介质,修改或破坏数据。授权用户将自身的访问特权不适当地授予其他用户,导致系统安全策略受到威胁,使用户数据泄露。
|
|
|
|
(2)逻辑推断和汇聚(Logical Inference and Aggregation)。利用逻辑推理,把不太敏感的数据结合起来可以推断出敏感信息。进行逻辑推断也可能要用到某些数据库系统以外的知识。与逻辑推断紧密相关的是数据汇聚安全问题,即个别的数据项是不敏感的,但是当足够多的个别数据值收集在一起时,就成为敏感的数据集。
|
|
|
|
(3)伪装(Masquerade)。攻击者假冒用户身份获取数据库系统的访问权限。
|
|
|
|
(4)旁路控制(Bypassing Controls)。在数据库设置后门,绕过数据库系统的安全访问控制机制。
|
|
|
|
(5)隐蔽信道(Covert Channels)。通常储存在数据库中的数据经由合法的数据信道被取出。与正常的合法信道相反,隐蔽信道利用非正常的通信途径传输数据以躲避数据库安全机制的控制,如共享内存、临时文件。
|
|
|
|
(6)SQL注入攻击(SQL Injection)。攻击者利用数据库应用程序的输入未进行安全检查的漏洞,欺骗数据库服务器执行恶意的SQL命令。SQL注入攻击常常导致数据库信息泄露,甚至会造成数据系统的失控。
|
|
|
|
(7)数据库口令密码破解。利用口令字典或手动猜测数据库用户密码,以达到非授权访问数据库系统的目的。互联网常见的黑客攻击技术手段有“撞库”,其技术原理就是通过收集互联网已泄露的用户+口令密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。
|
|
|
|
(8)硬件及介质攻击。对数据库系统相关的设备和存储介质的物理攻击。
|
|
|
