安华金和：数据库审计产品常见缺陷之(四)数据库对象解析错误精选.pdf

数据库审计产品常见缺陷之 （四）数据库对象解析错误 继上期为大家介绍了有关数据库审计多语句无法有效分割的问题，本期，安华金和围绕 数据库对象解析错误分析数据库审计产品常见缺陷。数据库审计产品中一个重要需求 是要有效记录下来SQL 语句的操作类型、访问对象；根据这些操作类型和访问 对象，审计产品可以有效地制订告警策略，可以有效地根据操作类型、访问对象 进行事后的追踪与检索。我国相关部门的数据库审计产品标准中要求：应对数据 库网络访问对象的名称进行准确审计，包括数据库服务器名称、IP 名称、数据 库名称、表、视图、序列、包、存储过程、函数、库、索引和触发器等。 目前国内大多数数据库审计产品都会宣称支持对SQL 语句操作类型和访问 对象的审计支持；但事实上，很多审计产品的支持能力有限，往往只能支持一些 简单语句的解析，比如这样的语句： Select * from tbl1 where col1 ’1’; 但笔者曾经见过一家大型的信息安全厂商的产品，仅仅是在表名前增加一个 schema 名称，就发生了令人震惊的错误；这个产品居然将schema 名称审计为了 表名。如上面这条语句改为； Select * from user1.tbl1 where col1 ‘1’; 这种数据库审计产品就会将user1 记录为表名。 出现这种情况说明产品设计的比较粗糙，还远远达不到专业的数据库审计产 品的要求；这通常是一些网络审计产品厂商，未经过严肃的产品开发过程，仅对 原有的网络审计产品进行了简单包装就推向了市场；这些厂商依靠已经积累的品 牌和用户的信任，提供了不严肃的数据库审计产品。而国家相关部门在产品的认 证过程中以及用户的演示中，并未真正仔细地对此进行测试。 © 2015 安华金和 事实上，上面被误报的例子，是一个非常简单的例子，大多数专业的数据库 审计产品都不会犯这样的错误。事实上，真正的挑战要比上面的例子复杂很多。 安华金和的数据库审计专家为读者准备了一些示例，读者可以验证下所使用的数 据库审计产品是否支持对这些类型的语句的操作类型和访问对象的正确解析。下 面的示例，若是未明确说明数据库类型，那么均可在Oracle 上执行通过。 一、对带Schema 的表能否准确解析并审计 示例1： Select * from user1.tbl1 where col1 ‘1’; 挑战： 是否准确识别出表名是tbl1,数据库名称是user1 ； 示例2 ：以下语句在SQL Server 上可运行 SELECT [Name], [SalesAmount] FROM [AdventureWorks].[Production].[Product] P 挑战： 是否准确识别出表名是product ，数据库名称是AdventureWorks ， Schema 名称是Production ； 二、对Union 中的多表能否准确解析并审计 如： Select col1, col2 from tbl1 Union Select col1,col2 from tbl2 Union Select myCol1,myCol2 from tbl3 Union © 2015 安华金和 Select col3,col4 from tbl1; 挑战： 是否准确识别出表是tbl1 、tbl2 、tbl3 三、对Update 中的多表能否能否准确解析并审计 示例1：Oracle 上的多表更新语句： update landleveldata a set (a.gqdltks, a.bztks)= (select b.gqdltks, b.bztks from gdqlpj b where a.GEO_Code=b.lxqdm) 挑战： 是否准确识别出涉及的表包括la