欢乐颂第一季免费阅读,怎么写网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

用數(shù)據(jù)庫安全策略防止權(quán)限升級(jí)攻擊

問：您能簡(jiǎn)單介紹一下與數(shù)據(jù)庫相關(guān)的權(quán)限升級(jí)嗎？如何確定我的公司是否有權(quán)限升級(jí)問題呢？

答：權(quán)限升級(jí)攻擊在用戶通過利用系統(tǒng)中的漏洞獲得額外的訪問系統(tǒng)權(quán)限時(shí)，就有可能發(fā)生。數(shù)據(jù)庫可能與其他具有權(quán)限升級(jí)的軟件一樣有類似的問題：如果數(shù)據(jù)庫功能或數(shù)據(jù)庫的其它部分有漏洞，用戶就可能利用該漏洞來獲取具有更高權(quán)限的用戶的帳號(hào)。

數(shù)據(jù)庫中因權(quán)限升級(jí)所引起的一個(gè)最大威脅是未授權(quán)的用戶能夠訪問存儲(chǔ)在數(shù)據(jù)庫中的敏感信息，但是這也有可能發(fā)生在文件系統(tǒng)中?？赡芪覀冃枰鼡?dān)心的是一些數(shù)據(jù)庫允許具有升級(jí)權(quán)限的用戶在數(shù)據(jù)庫的授權(quán)下在操作系統(tǒng)中運(yùn)行本地程序。權(quán)限升級(jí)漏洞也可能使攻擊者完全控制托管數(shù)據(jù)庫的系統(tǒng)，通過操作系統(tǒng)執(zhí)行命令。

為了確定公司是否有權(quán)限升級(jí)問題，首先你需要確定數(shù)據(jù)庫是否在最小權(quán)限下運(yùn)行（這可能需要數(shù)據(jù)庫管理員的幫助，他了解應(yīng)用程序的權(quán)限機(jī)制），然后確定用戶是否具有最小的訪問權(quán)限來完成他們的工作；這個(gè)需要在數(shù)據(jù)庫安全策略中解決。為了確定數(shù)據(jù)庫所使用的操作系統(tǒng)權(quán)限，請(qǐng)查找進(jìn)程表，查看數(shù)據(jù)庫進(jìn)程所使用的用戶ID。如果數(shù)據(jù)庫在根、管理員或其他授權(quán)賬戶下運(yùn)行，就有可能出現(xiàn)權(quán)限升級(jí)問題。除了這個(gè)問題，具有權(quán)限來執(zhí)行軟件的用戶，或允許用戶在數(shù)據(jù)庫中執(zhí)行軟件的漏洞，這些問題都有可能造成更大的威脅。

【編輯推薦】

保證Oracle數(shù)據(jù)庫安全性的策略和方法
你所忽視的MySQL數(shù)據(jù)庫安全問題

分享標(biāo)題：用數(shù)據(jù)庫安全策略防止權(quán)限升級(jí)攻擊
網(wǎng)頁URL：http://fisionsoft.com.cn/article/dpojgsj.html

新聞中心

其他資訊