HackproofingOracleApplicationServer755503775.docVIP

Hackproofing Oracle Application Server 文章属性：翻译文章提交：wking bblman_at_21 A NGSSoftware Insight Security Research Publication Hackproofing Oracle Application Server A Guide to Securing Oracle 9 [straight translated by wking bblman@21 04.1] Contents Introduction Oracle Architecture Oracle Apache -PL/SQL -Buffer Overflows -Directory Traversal -Administration -OWA_UTIL package -PL/SQL Authentication By-pass -PL/SQL Cross-site scripting -OracleJSP -Translation Files -JSP SQL Poisoning -Globals.jsa -Physical Path mapping -XSQL -XSQLConfig.xml Access -XSQL SQL Poisoning -XSQL Style Sheets -SOAP -SOAP Application Deployment -SOAP Configuration File -SAMPLES -Dangerous Samples -DEFAULTS -Dynamic Monitoring Services -Perl Alias TNS LISTENER -Listener Security Issues -EXTPROC and External Procedures Oracle Database -PL/SQL External Procedures -Default User Logins and Passwords Appendix AIntroduction 绪论 恰恰与Oracle公司C.E.O：Larry Ellison所宣称的相反，Oracle 9存在漏洞。或许Oracle公司在其运营活动中标榜“神不可破”是为充分显示他们对更进一步生产安全产品所做出的承诺，但在实际中，Oracle公司的确十分注重其产品的安全性。Oracle公司的产品已经历并通过了14项独立的安全评估，其中包括Common Criteria assessment。在数据库领域这是相当了不起的成就，仅此Oracle公司就将其它的竞争对手远远甩在后面。目前Oracle 9正经历评估的考验。谨以此篇献给Oracle产品的用户，帮助他们对Oracle公司所承诺的安全环境有更深的了解。要是某人为Oracle公司写一份安全方面的白皮书，他的功绩将与希腊君主科林斯王相姘美。Oracle公司开发了上百种产品，每件产品都应有其对应的专题说明。由于本文篇幅的限制，我们将讨论其中最普通的部分-从Oracle web前台到Oracle数据库服务器。主要的重点将放在Oracle web前台上，当然，我们还将简要了解数据库部分。对数据库部分的进一步研究将另外撰文探讨。经验表明，web服务器已无可厚非地成为攻击的第一个目标。本篇将演示攻击者是如何侵入基于Oracle的站点，获得web前台的操作权，直至最后控制数据库服务器。我们会讲解每种攻击方式，同时还会介绍其对应的防卫方法。针对本文一些问题的探讨你可以到/发表，同时在那里你可以下载Oracle的安全补丁。Oracle Architecture Oracle体系结构 典型的Oracle站点将由受防火墙保护Oracle web服务器和数据库服务器组成。Oracle web服务器将在由Oracle Application Server提供的高效环境下运行业主预先写好的应用程序。这些程序可以是PL/SQL 的应用程序、JSP、XSQL、java servlet或是基于SOAP的应用程序。 当然也可以是perl、fastcgi和其它被支持但又不是被经常使用的“非主流” 应用程序，故在此不作介绍。 在收到来自客户端的请求后，应用服务程序决定它是否有权限连接并访问后台数据库服务器的动态数据内容。web服务器与数据库服务器之间的通讯是首先通过Listener构建的。Listener的职责是迅速建立连接到oracle数据库的工作，一旦联接建立，Listener便完成使命自动推出。但在接下来的讨论中我们将得知Listener的作用不止这个。Listener在执行数据库服务器扩展进程中还起一个关键的作用。Ora