十大数据库安全漏洞类型
1、默认、空白及弱用户名/密码
2.SQL注入
3.宽泛的用户和组权限
4.启用不必要的数据库功能
5.失效的配置管理
6.缓冲区溢出
7.特权升级
8.拒绝服务攻击
9.数据库未打补丁
10.敏感数据未加密
我们捉到了三枚达梦数据库安全漏洞
国产数据库厂商达梦的达梦数据库已经在多个重点行业和领域占据不小的市场份额。
抱着提升国产数据库安全的信念,安化金和攻防实验室的“小伙伴们”在今年年初的时候,和达梦数据库来了一次亲密接触。
通过深度挖掘和缜密的推理,最终发现了几枚达梦数据库的安全漏洞。
独乐乐不如众乐乐,今天我们就把其中三个缓冲区漏洞和大家分享分享。
这三枚漏洞都属于缓冲区溢出漏洞,编号分别是:CNVD-2017-00626、CNVD-2017-00627、CNVD-2017-00628。这三枚缓冲区溢出漏洞,溢出的点和日志操作与表生成存在密切的关系。
现身吧,你们这几枚漏洞
缓冲区溢出漏洞危害有多大呢?轻则会导致数据库昏迷不醒,专业术语叫宕机,重则会被利用,不法分子可以实现对数据库所在操作系统的控制。失去自由意志的数据库不干了……咋办?
了解完这几枚漏洞,送福利时间到了。药,药,切克闹,煎饼果子来一套,来一套(NO!)
虽然没有煎饼果子,但是我们确实有药,今天我们送出的是攻城狮编写的针对这三个漏洞的扫描器,可以帮助大家对自家达梦数据库安全状况做到心中有数。
前往安华金和官网下载中心
下载地址:http://www.dbsec.cn/operations/download.html
具体步骤:下载扫描器工具压缩包→解压→用CMD打开命令行输入:cve.bat 172.168.75.12 5236 SYSDBA SYSDBA1234
结果如图所示:
当然如果觉得这个扫描器不能满足您,我们可是有药效更强大的DBScan哦。
