Hackproofing Oracle Application Server755503775精选.docVIP

Hackproofing Oracle Application Server 文章属性：翻译文章提交：wking (bblman_at_21)============A NGSSoftware Insight Security Research Publication============?????????? Hackproofing Oracle Application Server?????????????? (A Guide to Securing Oracle 9)============[straight translated by wking bblman@21 04.1]============Contents????Introduction????Oracle Architecture????Oracle Apache????????-PL/SQL????????????-Buffer Overflows????????????-Directory Traversal????????????-Administration????????????-OWA_UTIL package????????????-PL/SQL Authentication By-pass????????????-PL/SQL Cross-site scripting????????-OracleJSP????????????-Translation Files????????????-JSP SQL Poisoning????????????-Globals.jsa????????????-Physical Path mapping????????-XSQL????????????-XSQLConfig.xml Access????????????-XSQL SQL Poisoning????????????-XSQL Style Sheets????????-SOAP????????????-SOAP Application Deployment????????????-SOAP Configuration File????????-SAMPLES????????????-Dangerous Samples????????-DEFAULTS????????????-Dynamic Monitoring Services????????????-Perl Alias????TNS LISTENER????????-Listener Security Issues????????-EXTPROC and External Procedures????Oracle Database????????-PL/SQL External Procedures????????-Default User Logins and Passwords????Appendix AIntroduction(绪论)恰恰与Oracle公司C.E.O：Larry Ellison所宣称的相反，Oracle 9存在漏洞。或许Oracle公司在其运营活动中标榜“神不可破”是为充分显示他们对更进一步生产安全产品所做出的承诺，但在实际中，Oracle公司的确十分注重其产品的安全性。Oracle公司的产品已经历并通过了14项独立的安全评估，其中包括Common Criteria assessment。在数据库领域这是相当了不起的成就，仅此Oracle公司就将其它的竞争对手远远甩在后面。目前Oracle 9正经历评估的考验。谨以此篇献给Oracle产品的用户，帮助他们对Oracle公司所承诺的安全环境有更深的了解。要是某人为Oracle公司写一份安全方面的白皮书，他的功绩将与希腊君主科林斯王相姘美。Oracle公司开发了上百种产品，每件产品都应有其对应的专题说明。由于本文篇幅的限制，我们将讨论其中最普通的部分-从Oracle web前台到Oracle数据库服务器。主要的重点将放在Oracle web前台上，当然，我们还将简要了解数据库部分。对数据库部分的进一步研究将另外撰文探讨。经验表明，web服务器已无可厚非地成为攻击的第一个目标。本篇将演示攻击者是如何侵入基于Oracle的站点，获得web前台的操作权，直至最后控制数据库服务器。我们会讲解每种攻击方式，同时还会介绍其对应的防卫方法。针对本文一些问题的探讨你可以到/发表，同时在那里你可以下载Oracle的安全补丁。Oracle Architecture(Oracle体系结构)典型的Oracle站点将由受防火墙保护Orac