入侵oracle数据库的一些心得.pdfVIP

入侵 oracle 数据库的一些心得 信息来源 : I.S.T.O 信息安全团队 (/I_S_T_O ) 一、先看下面的一个贴子 : Oracle 数据库是现在很流行的数据库系统，很多大型网站都采用 Oracle ，它之所以倍受 用户喜爱是因为它有以下突出的特点： 1 、支持大数据库、多用户的高性能的事务处理。 Oracle 支持最大数据库，其大小可到几 百千兆，可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用，并使 数据争用最小，保证数据一致性。系统维护具有高的性能， Oracle 每天可连续 24 小时工 作，正常的系统操作 ( 后备或个别计算机系统故障 ) 不会中断数据库的使用。 可控制数据库 数据的可用性，可在数据库级或在子数据库级上控制。 2 、 Oracle 遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以它 是一个开放系统，保护了用户的投资。美国标准化和技术研究所 (NIST) 对 Oracle7 SER VER 进行检验， 100% 地与 ANSI/ISO SQL89 标准的二级相兼容。 3 、实施安全性控制和完整性控制。 Oracle 为限制各监控数据存取提供系统可靠的安全性。 Oracle 实施数据完整性，为可接受的数据指定标准。 4 、支持分布式数据库和分布处理。 Oracle 为了充分利用计算机系统和网络，允许将处理 分为数据库服务器和客户应用程序， 所有共享的数据管理由数据库管理系统的计算机处理， 而运行数据库应用的工作站集中于解释和显示数据。通过网络连接的计算机环境， Oracl e 将存放在多台计算机上的数据组合成一个逻辑数据库，可被全部网络用户存取。分布式 系统像集中式数据库一样具有透明性和数据一致性。 具有可移植性、 可兼容性和可连接性。 由于 Oracle 软件可在许多不同的操作系统上运行， 以致 Oracle 上所开发的应用可移植到任何操作系统，只需很少修改或不需修改。 Oracle 本文档为网上收集，若侵犯了您的利益，请联系 (QQ ：253169161) ，我将立即核对删除。 软件同工业标准相兼容，包括很多工业标准的操作系统，所开发应用系统可在任何操作系 统上运行。可连接性是指 ORALCE 允许不同类型的计算机和操作系统通过网络可共享信 息。 虽然 Oracle 数据库具有很高的安全性，但是如果我们在配置的时候不注意安全意识，那 么也是很危险的。 也就是说， 安全最主要的还是要靠人自己， 而不能过分依赖软件来实现。 我们知道，在 mssql 中，安装完成后默认有个 sa 的登陆密码为空，如果不更改就会产生 安全漏洞。那么 oracle 呢? 也有的。为了安装和调试的方便， Oracle 数据库中的两个具 有 DBA 权限的用户 Sys 和 System 的缺省密码是 manager 。笔者发现很多国内网站的 Oracle 数据库没有更改这两个用户的密码，其中也包括很多大型的电子商务网站， 我们 就可以利用这个缺省密码去找我们感兴趣的东西。如何实现，看下面的文章吧。 进行测试前我们先来了解一些相关的知识，我们连接一个 Oracle 数据库的时候，需要知 道它的 service_name 或者是 Sid 值，就象 mssql 一样，需要知道数据库名。那如何去 知道呢，猜 ? 呵呵，显然是不行的。这里我们先讲讲 oracle 的 TNS listener ，它位于数 据库 Client 和数据库 Server 之间，默认监听