中國(guó)福建網(wǎng)

當(dāng)前位置:中國(guó)福建網(wǎng) > 國(guó)內(nèi) > 正文

安華金和 | 100+數(shù)據(jù)庫(kù)漏洞再創(chuàng)新高,數(shù)據(jù)將安身何處?

作者: 編輯 來源:互聯(lián)網(wǎng) 發(fā)布時(shí)間:2020-08-25

┊文章閱讀:

【報(bào)告發(fā)布 ·觀點(diǎn)一致】

近日,由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心以下簡(jiǎn)稱:CNCERT編寫的《2019年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》以下簡(jiǎn)稱:《報(bào)告》正式發(fā)布?!秷?bào)告》依托CNCERT多年來從事網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警和應(yīng)急處置等工作的實(shí)際情況,對(duì)我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況進(jìn)行總體判斷和趨勢(shì)分析,具有重要的參考價(jià)值。

近年來,伴隨數(shù)據(jù)價(jià)值的不斷提升,數(shù)據(jù)安全問題日益嚴(yán)峻。作為海量數(shù)據(jù)的“電子化載體”,數(shù)據(jù)庫(kù)所需面對(duì)的安全隱患和風(fēng)險(xiǎn)也水漲船高;而在所有與數(shù)據(jù)庫(kù)有關(guān)的安全威脅中,“數(shù)據(jù)庫(kù)漏洞”絕對(duì)是跳不過的一大難點(diǎn),它就像數(shù)據(jù)庫(kù)“木桶效應(yīng)”中的那塊短板,如果不能及時(shí)發(fā)現(xiàn)和封堵,數(shù)據(jù)庫(kù)及其數(shù)據(jù)安全都將淪為“一紙空談”。

《報(bào)告》中也專門針對(duì)我國(guó)境內(nèi)數(shù)據(jù)庫(kù)隱患排查及處置情況進(jìn)行公布——經(jīng)CNCERT分析發(fā)現(xiàn),安全漏洞是導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在數(shù)據(jù)泄露隱患的主要因素,涉及的數(shù)據(jù)庫(kù)服務(wù)類型主要包括MongoDB、MySQL、ElasticSearch和Redis等,涉及的漏洞類型主要為未授權(quán)訪問和弱口令漏洞等。如下圖統(tǒng)計(jì)數(shù)據(jù)所示,由于數(shù)據(jù)庫(kù)漏洞的存在,安全受其影響的數(shù)據(jù)表數(shù)量20000+、數(shù)據(jù)量1330+TB和數(shù)據(jù)條數(shù)1.78萬億+都十分龐大!

【一騎絕塵 ·遙遙領(lǐng)先】

《報(bào)告》對(duì)于“安全漏洞是導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在數(shù)據(jù)泄露隱患的主要因素”這一結(jié)論,與安華金和“數(shù)據(jù)庫(kù)安全的主要威脅之一就來自于數(shù)據(jù)庫(kù)漏洞”的觀點(diǎn)高度一致;同時(shí),多年以來對(duì)數(shù)據(jù)庫(kù)漏洞挖掘及安全防護(hù)工作的持續(xù)深入與沉淀,也為安華金和在該領(lǐng)域積累了豐富的經(jīng)驗(yàn)成果、領(lǐng)先的技術(shù)產(chǎn)品、完善的團(tuán)隊(duì)體系以及更顯著的優(yōu)勢(shì)地位。

安華金和旗下數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室DBSec Labs創(chuàng)建于2010年11月,是國(guó)內(nèi)第一批成立的、規(guī)?;臄?shù)據(jù)庫(kù)安全研究機(jī)構(gòu),配備有一支獨(dú)立、持久的,針對(duì)數(shù)據(jù)庫(kù)安全漏洞、數(shù)據(jù)庫(kù)攻擊技術(shù)模擬、數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)等方向進(jìn)行科學(xué)分析與研究工作的專業(yè)團(tuán)隊(duì)。

DBSec Labs是國(guó)內(nèi)具備“國(guó)際數(shù)據(jù)庫(kù)漏洞挖掘能力”的專業(yè)實(shí)驗(yàn)室,也是國(guó)內(nèi)首個(gè)針對(duì)數(shù)據(jù)庫(kù)漏洞進(jìn)行系統(tǒng)分類與定性分析的專業(yè)實(shí)驗(yàn)室,它在很長(zhǎng)一段時(shí)期填補(bǔ)了國(guó)內(nèi)數(shù)據(jù)庫(kù)漏洞研究方面的空白。在數(shù)據(jù)庫(kù)漏洞挖掘方面,DBSec Labs所涵蓋的數(shù)據(jù)庫(kù)范圍之廣、挖掘的數(shù)據(jù)庫(kù)漏洞數(shù)量之多,在國(guó)內(nèi)首屈一指;截至目前,DBSec Labs已針對(duì)Oracle、DB2、Informix、mongoDB、Gbase、Kingbase、達(dá)夢(mèng)等國(guó)內(nèi)外知名數(shù)據(jù)庫(kù)廠商:

1.累計(jì)挖掘、提交并認(rèn)證數(shù)據(jù)庫(kù)漏洞65個(gè)

·超危數(shù)據(jù)庫(kù)漏洞1個(gè)

·高危數(shù)據(jù)庫(kù)漏洞35個(gè)

·中危數(shù)據(jù)庫(kù)漏洞23個(gè)

·低危數(shù)據(jù)庫(kù)漏洞6個(gè)

注:另有10個(gè)數(shù)據(jù)庫(kù)漏洞正在認(rèn)證申請(qǐng)中。

2.累計(jì)復(fù)現(xiàn)數(shù)據(jù)庫(kù)漏洞74個(gè)

·高危數(shù)據(jù)庫(kù)漏洞23個(gè)

·中危數(shù)據(jù)庫(kù)漏洞29個(gè)

·低危數(shù)據(jù)庫(kù)漏洞5個(gè)

·未定級(jí)數(shù)據(jù)庫(kù)漏洞17個(gè)

疫情期間,DBSec Labs持續(xù)開展數(shù)據(jù)庫(kù)漏洞挖掘及研究工作,成功發(fā)現(xiàn)DB2最新版本高危漏洞1個(gè)、中危漏洞2個(gè),Informix數(shù)據(jù)庫(kù)堆棧溢出漏洞1個(gè),以及國(guó)產(chǎn)數(shù)據(jù)庫(kù)漏洞若干;成功復(fù)現(xiàn)包括2019-2020年較新版本MySQL、PostgreSQL在內(nèi)的多個(gè)數(shù)據(jù)庫(kù)漏洞。

此外,DBSec Labs根據(jù)多年以來對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)分析與防護(hù)實(shí)踐的經(jīng)驗(yàn)總結(jié),陸續(xù)編寫并發(fā)布專門針對(duì)Oracle、MySQL、SQL Server、db2、MongoDB、PostgreSQL六大國(guó)際主流數(shù)據(jù)庫(kù)以及GBase、Kingbase、達(dá)夢(mèng)三大國(guó)產(chǎn)主流數(shù)據(jù)庫(kù)的《安全配置指導(dǎo)手冊(cè)》。

【獨(dú)家研發(fā) ·驗(yàn)證工具】

DBSec Labs通過整合自身對(duì)數(shù)據(jù)庫(kù)漏洞及數(shù)據(jù)庫(kù)攻擊技術(shù)的全部研究成果,獨(dú)家設(shè)計(jì)研發(fā)出一套專業(yè)、高效、可靠的數(shù)據(jù)庫(kù)漏洞驗(yàn)證工具——支持多種主流數(shù)據(jù)庫(kù)類型、20+數(shù)據(jù)庫(kù)版本以及100+漏洞的驗(yàn)證;漏洞類型更涵蓋算法破解、監(jiān)聽劫持、緩沖區(qū)溢出、sql注入、競(jìng)態(tài)注入、符號(hào)鏈接、反序列化等;并支持滲透模塊與腳本免殺。此外,該款漏洞驗(yàn)證工具還具備以下五點(diǎn)優(yōu)勢(shì):

1.自動(dòng)快速識(shí)別數(shù)據(jù)庫(kù)服務(wù)

不同于“遍歷數(shù)據(jù)庫(kù)協(xié)議”的傳統(tǒng)數(shù)據(jù)庫(kù)識(shí)別方式,安華金和數(shù)據(jù)庫(kù)驗(yàn)證工具采用更加高效的數(shù)據(jù)庫(kù)服務(wù)發(fā)現(xiàn)方法,可快速精準(zhǔn)地發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存活的數(shù)據(jù)庫(kù)服務(wù)。

2.全面的數(shù)據(jù)庫(kù)脆弱點(diǎn)檢查

一般的數(shù)據(jù)庫(kù)脆弱點(diǎn)檢查是從已有數(shù)據(jù)庫(kù)漏洞或數(shù)據(jù)庫(kù)版本信息上進(jìn)行的,這種檢查方式并不全面;而安華金和數(shù)據(jù)庫(kù)驗(yàn)證工具可根據(jù)數(shù)據(jù)庫(kù)漏洞的基本成因,設(shè)計(jì)出全方位的脆弱點(diǎn)檢查方向,覆蓋數(shù)據(jù)庫(kù)所有可能產(chǎn)生漏洞的安全因素,從操作系統(tǒng)、數(shù)據(jù)庫(kù)配置、數(shù)據(jù)庫(kù)使用三方位對(duì)數(shù)據(jù)庫(kù)的脆弱點(diǎn)進(jìn)行全面檢查。

3.多層次、多維度立體攻擊

為達(dá)到理想的滲透攻擊效果,安華金和數(shù)據(jù)庫(kù)漏洞驗(yàn)證工具采用從“多個(gè)層次和多個(gè)維度”進(jìn)行滲透攻擊的方式——其中多個(gè)層次指的是網(wǎng)絡(luò)層、數(shù)據(jù)庫(kù)層、操作系統(tǒng)層;多個(gè)維度指的是在不同層面,利用算法破解、監(jiān)聽劫持、緩沖區(qū)溢出、越權(quán)訪問、SQL注入、競(jìng)態(tài)注入、符號(hào)鏈提取、越權(quán)滲透、越權(quán)覆蓋等多種類型的數(shù)據(jù)庫(kù)漏洞進(jìn)行滲透。

4.自動(dòng)化、智能化滲透攻擊

滲透攻擊是一個(gè)復(fù)雜的過程,需要根據(jù)目標(biāo)數(shù)據(jù)庫(kù)和環(huán)境的特點(diǎn),針對(duì)性地利用適合的安全漏洞和攻擊腳本進(jìn)行滲透攻擊。安華金和數(shù)據(jù)庫(kù)漏洞驗(yàn)證工具能夠自動(dòng)根據(jù)目標(biāo)數(shù)據(jù)庫(kù)的操作系統(tǒng)類型/版本以及數(shù)據(jù)庫(kù)類型/版本,通過內(nèi)建的漏洞攻擊策略,智能地選擇相匹配的滲透攻擊腳本對(duì)數(shù)據(jù)庫(kù)進(jìn)行滲透攻擊;同時(shí),攻擊完成后會(huì)根據(jù)滲透結(jié)果自動(dòng)進(jìn)行攻擊效果檢測(cè),并根據(jù)攻擊效果智能選擇信息收集shell進(jìn)行信息收集等后攻擊操作,整個(gè)過程無需人工干預(yù)。

5.提供數(shù)據(jù)庫(kù)專有攻擊方法

安華金和數(shù)據(jù)庫(kù)驗(yàn)證工具提供的“數(shù)據(jù)庫(kù)專有攻擊方式”有別于傳統(tǒng)的軟件攻擊方式,是只有在數(shù)據(jù)庫(kù)領(lǐng)域才能達(dá)成攻擊效果的攻擊方式;其中包含索引注入攻擊、觸發(fā)器注入攻擊、輔助函數(shù)注入攻擊、游標(biāo)注入攻擊等等。這些專有攻擊方式涉及數(shù)據(jù)庫(kù)對(duì)象、數(shù)據(jù)庫(kù)事務(wù)類型、數(shù)據(jù)庫(kù)權(quán)限、數(shù)據(jù)格式等數(shù)據(jù)庫(kù)專業(yè)領(lǐng)域的相關(guān)數(shù)據(jù)處理能力。

DBSec Labs的研究工作并未止步于向數(shù)據(jù)庫(kù)廠商提交漏洞,而是基于所發(fā)現(xiàn)的問題設(shè)計(jì)出針對(duì)數(shù)據(jù)庫(kù)安全設(shè)計(jì)框架的改進(jìn)方案——根據(jù)對(duì)國(guó)際主流數(shù)據(jù)庫(kù)廠商相關(guān)防護(hù)技術(shù)的深入研究,通過對(duì)各類方案的利弊分析,自主創(chuàng)新并提出具備國(guó)際水平、業(yè)內(nèi)獨(dú)家的數(shù)據(jù)庫(kù)安全加固解決方案,更好地幫助國(guó)內(nèi)數(shù)據(jù)庫(kù)廠商和廣大數(shù)據(jù)庫(kù)用戶構(gòu)建有針對(duì)性的防護(hù)體系,滿足不同的數(shù)據(jù)庫(kù)安全防護(hù)需求,為中國(guó)數(shù)據(jù)庫(kù)及數(shù)據(jù)安全建設(shè)發(fā)展提供有力支撐,讓數(shù)據(jù)使用自由而安全!

  • 分類目錄
  • 軟文發(fā)布平臺(tái)
  • 勞務(wù)外包公司
  • 帆布水池
  • 運(yùn)維開發(fā)網(wǎng)
  • 小程序開發(fā)
  • 淘寶優(yōu)惠券
  • IT新聞
  • 淘寶erp
  • 植物提取物網(wǎng)
  • 站長(zhǎng)網(wǎng)
  • 源碼論壇
  • 激光打標(biāo)機(jī)
  • 丹泊儀器
  • 礦山生態(tài)修復(fù)
  • 青島月子會(huì)所
  • 知識(shí)付費(fèi)
  • 辦公家具
  • 呱呱贊小程序
  • 淄博java培訓(xùn)
  • 小程序開發(fā)
  • seo外包公司
  • 盈江新財(cái)網(wǎng)
  • 工程拍照軟件
  • 速賣通論壇
  • 極客網(wǎng)
  • 甘州文化網(wǎng)
  • 優(yōu)鞋論壇
  • 寧波小程序開發(fā)
  • 域名論壇
  • 微軟crm
  • andon系統(tǒng)
  • 鄭州網(wǎng)站建設(shè)
  • seo學(xué)習(xí)網(wǎng)
  • 奢侈品回收
  • 一對(duì)一輔導(dǎo)
  • 黑客視野新聞