利用漏洞入侵Oracle系统.docVIP

利用漏洞入侵Oracle系统 讨论保护系统防范攻击的方法。　　1.SQL注入攻击　　如今大部分的Oracle数据库都具有为某种类型网络应用服务的后端数据存储区，网页应用使数据库更容易成为我们的攻击目标体现在三个方面。其一，这些应用界面非常复杂，具有多个组成成分，使数据库管理员难以对它们进行彻底检查。其二，阻止程序员侵入的屏障很低，即便不是C语言的编程专家，也能够对一些页面进行攻击。下面我们会简单地解释为什么这对我们这么重要。第三个原因是优先级的问题。网页应用一直处于发展的模式，所以他们在不断变化，推陈出新。这样安全问题就不是一个必须优先考虑的问题。　　SQL注入攻击是一种很简单的攻击，在页面表单里输入信息，悄悄地加入一些特殊代码，诱使应用程序在数据库里执行这些代码，并返回一些程序员没有料到的结果。例如，有一份用户登录表格，要求输入用户名和密码才能登录，在用户名这一栏，输入以下代码：　　cyw); select username, password from all_users;--　　如果数据库程序员没有聪明到能够检查出类似的信息并“清洗”掉我们的输入，该代码将在远程数据库系统执行，然后这些关于所有用户名和密码的敏感数据就会返回到我们的浏览器。 你可能会认为这是在危言耸听，不过还有更绝的。David Litchfield在他的著作《Oracle黑客手册》(Or