2007年11月21日 Oracle 8 严重漏洞

　　综述： 　　Oracle 8.1.5 for UN*X存在普通用户可以得到root权限的漏洞。 　　检验环境： 　　Oracle 8.1.5 on Solaris 2.6 SPARC 版本。 　　漏洞详细描述： 　　如果没有设置ORACLE_HOME，运行dbsnmp（缺省设...

2007年11月21日 浅谈对数据库的攻击

浅谈对数据库的攻击(1)　 　　　　佳佳在这里简单谈一下对数据库的攻击。由于本人才疏学浅，望大家能够批评指正。 　　　　一般的web　server都要使用数据库来存储信息，几乎所有的网站都要用数据库。这样就存在着两种可能，一种是使用小型数据库，如aceess,一般就储存在本地。另一种是使用大型数据库，如SQL　server,Oracle这时候一般就放在另一台机器上，然后通过ODBC...

2007年11月21日 MySQL安全性指南

作为一个MySQL的系统管理员，你有责任维护你的MySQL数据库系统的数据安全性和完整性。本文主要主要介绍如何建立一个安全的MySQL系统，从系统内部和外部网络两个角度，为你提供一个指南。 本文主要考虑下列安全性有关的问题： 为什么安全性很重要，你应该防范那些攻击？　 服务器面临的风险（内部安全性），如何处理？　 连接服务器的客户端风险（外部安全性），如何处理？　 MySQL管理...

2007年11月21日 浅谈数据库的攻击

1。突破script的限制。   例如，某网页上有一文本框，允许你输入用户名称，但是它限制你只能输入4个字符。许多程序都是在客户端限制，然后用msgbox弹出错误提示。如果你攻击时需要突破此限制，只需要在本地做一个一样的主页，只是取消了限制，通常是去掉VBscript或IavaScript的限制程序，就可以成功突破。   如果是javascrip...

2007年11月21日 oracle数据库安全性策略

    数据库安全性问题一直是围绕着数据库管理员的恶梦，数据库数据的丢失  以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。本文围绕数据  库的安全性问题提出了一些安全性策略，希望对数据库管理员有所帮助，不再  夜夜恶梦。数据库安全性问题应包括两个部分：  一、数据库数据的安全  它应能...

2007年11月21日 mysqld库文件创建漏洞

受影响的系统:  mysql-3.20.32a，其它版本可能也存在此问题  描述:  --------------------------------------------------------------------------------  任何可以用合法的使用者名和密码登录进mysql的使用者都可以利用mysqld来发起拒绝服&nb...

2007年11月21日 怎样使MySQL安全以对抗解密高手

当你连接一个MySQL服务器时，你通常应该使用一个口令。口令不以明文在连接上传输。 所有其它信息作为能被任何人读懂的文本被传输。如果你担心这个，你可使用压缩协议(MySQL3.22和以上版本)使事情变得更难。甚至为了使一切更安全，你应该安装ssh（见http://www.cs.hut.fi/ssh)。用它，你能在一个MySQL服务器与一个MySQL客户之间得到一个加密的TCP/IP...

2007年11月21日 Oracle数据库密码文件的使用和维护

　概要：Oracle关系数据库系统以其卓越的性能获得了广泛的应用，而保证数据库的安全性是数据库管理工作的重要内容。本文是笔者在总结Oracle数据库安全管理工作的基础上，对Oracle数据库系统密码文件的创建、使用和维护作了详细的介绍，供大家参考。　　关键词：Oracle数据库　密码文件 　　在Oracle数据库系统中，用户如果要以特权用户身份（INTERNAL／SYSDBA／SYSOP...

2007年11月21日 一个容易忽视的Oracle安全问题

数据库安全问题一直是人们关注的焦点之一，我们知道一个企业或者机构的数据库如果遭到黑客的攻击，而这些数据库又保存着非常重要的数据，象银行、通信等数据库，后果将不堪设想。Oracle数据库使用了多种手段来保证数据库的安全性，如密码，角色，权限等等。 作为Oracle的数据库管理员都知道，数据库系统典型安装后，一般sys和system以及internal这三个用户具有默认的口令，数据库安装成功后，系统...

2008年01月15日 IBM DB2 Universal Database 存在授权绕过的漏洞

受影响系统：IBM DB2 Universal Database 8.2.2IBM DB2 Universal Database 8.2.1IBM DB2 Universal Database 8.2.0IBM DB2 Universal Database 8.1.9IBM DB2 Universal Database 8.1.8IBM DB2 Universal Database 8.1.7IB...

2008年01月15日 MySQL安装脚本存在以不安全方式创建临时文件漏洞

受影响系统：MySQL AB MySQL 5.0.4MySQL AB MySQL 5.0.3MySQL AB MySQL 5.0.2MySQL AB MySQL 5.0.1MySQL AB MySQL 5.0.0-0MySQL AB MySQL 4.0.9-gammaMySQL AB MySQL 4.0.9MySQL AB MySQL 4.0.8-gammaMySQL AB MySQL 4.0.8...

2008年01月15日 MySQL MaxDB HTTP GET请求处理 存在栈溢出的漏洞

受影响系统：MySQL AB MaxDB 7.5.00.23不受影响系统：MySQL AB MaxDB 7.5.00.26详细描述：MySQL的MaxDB是SAP AG开放源码数据库SAP DB的增强版本，是对MySQL数据库服务器的补充。远程利用MySQL MaxDB中的栈溢出漏洞可能允许攻击者以系统权限执行任意代码。漏洞起因是没能正确的处理包含有百分号（％）的HTTP GET请求。如果攻击者能...

2008年01月15日 Oracle DBMS_METADATA软件包存在多个SQL注入漏洞

受影响系统：Oracle database server 9iOracle database server 10g详细描述：Oracle Database是一款商业性质大型数据库系统。DBMS_METADATA软件包的各种过程所使用的OBJECT_TYPE参数存在SQL注入漏洞。尽管这个软件包是以调用用户的权限执行的，但其内部使用了以SYS权限执行注入SQL的其他软件包，因此攻击者可以获得DBA权...

2008年01月15日 Oracle interMedia文件或对象处理拒绝服务的漏洞

受影响系统：Oracle database server 9iOracle database server 10g详细描述：Oracle Database是一款商业性质大型数据库系统。Oracle interMedia系统的ORDImage和ORDDoc中存在拒绝服务漏洞。如果用户试图加载特制的文件或为对象属性设置特制的数据的话，就可能触发拒绝服务，导致Oracle服务进程消耗100%的CPU占用...

2008年01月15日 Sybase ASE企业级数据库 查询计划缓冲区溢出漏洞

受影响系统：Sybase Adaptive Server Enterprise 12.5.3 ESD#1之前版本不受影响系统：Sybase Adaptive Server Enterprise 12.5.3 ESD#1详细描述：Sybase Adaptive Server Enterprise是一款企业级数据库，可支持传统的、关键任务的OLTP和DSS应用。Sybase ASE实现多种性能优化机制...