以操作系统认证方式登录数据库
方法一登陆:
这是我们默认最基本最常用的登陆方法
最基本的方法就是使用sqlplus / as sysdba登录数据库
斜杠“/”左面是用户名,右面是密码,这里表示不给出用户名和密码一样可以登录到数据库系统中
方法二登陆:
sqlplus sys/password as sysdba
显然登陆完全没得问题
方法三:
使用错误的用户名和密码登陆数据库
sqlplus caonidaye/caonidaye as sysdba
SQL*Plus: Release 11.2.0.1.0 Production on 星期三 10月 16 10:40:38 2013
Copyright (c) 1982, 2010, Oracle. All rights reserved.
连接到:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
日他大爷,太坑爹了,现在已经登陆进去了
这种操作系统认证方式登录数据库,即使使用的是错误的用户名和密码依然可以顺利的登录到数据库中.
我现在以错误的用户名和密码登陆到数据库中去都可以为所欲为,增删查改,乱搞一通都可以。
现在show user出来看已经是sys权限了,超级管理员了,是撒子都可以干撒
我可以改用户的权限和密码
我可以去删一切东西等等
显然以OS操作系统认证登陆系统太J8危险了,必须要改,禁止操作系统认证登陆。
找到你配置监听的路径,是和监听文件是放在一起的,sqlnet.ora这个文件找到起
然后修改SQLNET.AUTHENTICATION_SERVICES= (Nts),把nts修改为none
现在就在也不可以以操作系统认真登陆去乱搞了
大功告成