一个容易忽视的Oracle安全问题

原创 2004年07月15日 20:46:00
数据库安全问题一直是人们关注的焦点之一,我们知道一个企业或者机构的数据库如果遭到黑客的攻击,而这些数据库又保存着非常重要的数据,象银行、通信等数据库,后果将不堪设想。Oracle数据库使用了多种手段来保证数据库的安全性,如密码,角色,权限等等。

作为Oracle的数据库管理员都知道,数据库系统典型安装后,一般sys和system以及internal这三个用户具有默认的口令,数据库安装成功后,系统管理员作的第一件工作就是修改这些用户的口令,保证数据库的安全性。然而,众多管理员往往忽视了其中的一个安全问题,下面我们就将详细讨论这个问题。

Oracle数据库系统如果采用典型安装后,除了创建前面介绍的几个用户外,另外还自动创建了一个叫做DBSNMP的用户,该用户负责运行Oracle系统的智能代理(Intelligent Agent),该用户的缺省密码也是“DBSNMP”。如果忘记修改该用户的口令,任何人都可以通过该用户存取数据库系统。现在我们来看一下该用户具有哪些权限和角色,然后来分析一下该用户对数据库系统可能造成的损失。

启动SQL/PLUS程序,使用该用户登录进入:

SQL> select * from session_privs;
CREATE SESSION
ALTER SESSION
UNLIMITED TABLESPACE
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE PUBLIC SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE DATABASE LINK
CREATE PROCEDURE
CREATE TRIGGER
ANALYZE ANY
CREATE TYPE
CREATE OPERATOR
CREATE INDEXTYPE
可以看到该用户不是SYS或SYSTEM管理用户,然而,它却具有两个系统级权限:UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM。

看到这两个权限你应该马上想到,这些都是安全隐患,尤其是UNLIMITED TABLESPACE,它是破坏数据库系统的攻击点之一。如果这时候你还依然认为,即使有人利用这个没有修改的口令登录进数据库也造成不了什么损失的话,我就不得不提醒你:该用户具有UNLIMITED TABLESPACE的系统权限,它可以写一个小的脚本,然后恶意将系统用垃圾数据填满,这样数据库系统也就无法运行,并将直接导致最终的瘫痪。目前很多数据库系统都要求7X24的工作,如果出现了系统用垃圾数据填满的情况,那么,等数据库系统恢复时,恐怕不可挽回的损失已经造成了。

为了保证Oracle数据库系统运行的绝对安全,强烈建议数据库管理员修改该用户的默认口令,不要为不怀好意的人留下“方便之门”。

oracle最容易忽视的两个进程SMON好ARCH

文章出自:也找不到源地址在哪了,总之感谢作者的分享 Oracle中最易忽视的两个重要进程   在Oracle数据库中有两个进程非常的渺小,但是其作用却是非常的巨大。由于其比较小而往往被数据库...
  • cupid1102
  • cupid1102
  • 2015年12月31日 10:08
  • 629

Oracle查询忽略大小写的实现方法

Oracle查询有时候要受到一些条件的制约,比如大小写。下面为您介绍了一个实现Oracle查询忽略大小写的方法,如果您对Oracle查询方面感兴趣的话,不妨一看。 数据库有4 条记录,分别是 '...
  • dare_
  • dare_
  • 2014年11月26日 15:17
  • 928

容易忽视的java知识点

java是先编译后解释的语言,先通过编译成.class字节码文件,然后通过jvm翻译执行定义常量用关键词finaljava里的只有boolean类型。没有bool类型,boolean值只有true和f...
  • qq_35279765
  • qq_35279765
  • 2016年06月15日 09:09
  • 57

关于USART很多人都容易忽视的一个问题

Ⅰ、写在前面 今天这篇文章分享的知识点比较少,但比较重要,是大部分人在实际项目开发中都容易忽视,且容易犯下的低级错误。   本文讲述在项目开发中,或在学习中经常遇到USART发送字符串,对方没有...
  • ybhuangfugui
  • ybhuangfugui
  • 2016年10月08日 13:50
  • 2389

你容易忽视的编程问题

你容易忽视的编程问题
  • wuchengzeng
  • wuchengzeng
  • 2015年03月13日 13:40
  • 590

前端程序员容易忽视的一些基础知识

基础数据结构与算法 现在有两个不同的JSON,比较复杂。要比较它们的差异,除了用现成的工具如beyond compare以外,如果我们的机器上没有安装这个工具,能如何较快解决?作为一个程序员,一个个...
  • htwindows
  • htwindows
  • 2014年03月03日 13:52
  • 573

前端程序员容易忽视的一些基础知识

基础数据结构与算法 现在有两个不同的JSON,比较复杂,可以参考这里的DEMO中返回的JSON。要比较它们的差异,除了用现成的工具如beyond compare以外,如果我们的机器上没有安装这个...
  • huaqiangu1123
  • huaqiangu1123
  • 2017年12月09日 11:37
  • 53

前端程序员容易忽视的一些基础知识

基础数据结构与算法 现在有两个不同的JSON,比较复杂,可以参考这里的DEMO中返回的JSON。要比较它们的差异,除了用现成的工具如beyond compare以外,如果我们的机器上没有安装这个工具...
  • huaqiangu1123
  • huaqiangu1123
  • 2017年12月14日 11:09
  • 77

为你解析那些容易被大家忽视的电脑小细节

今天我们就针对电脑中大家平时忽略的一些电脑部件所需注意事项作一个小总结。   一、键盘         它怕潮气、灰尘、拉拽。现在大部分的键盘都采用塑料薄膜开关,即开关由三张塑料薄膜构成,中间一...
  • u011450606
  • u011450606
  • 2013年07月29日 10:54
  • 218

java中一个容易忽视的问题

(本文参考importNew的文章(http://www.importnew.com/22386.html),向原文作者致敬。) 问题描述:请问如下代码输出是什么? Integer a = 1000,...
  • captian_900331
  • captian_900331
  • 2016年11月22日 14:30
  • 187
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:一个容易忽视的Oracle安全问题
举报原因:
原因补充:

(最多只允许输入30个字)