一 State of Oracle Security （oracle的安全狀態(tài)）1 來之媒體的報道：超過十分之一的于internet上公司數(shù)據(jù)庫有安全隱患。一份來之750家美國數(shù)據(jù)庫開發(fā)商開始對數(shù)據(jù)庫安全表示憂慮。2 黑客世界的秘密：討論會對數(shù)據(jù)庫被黑的報道增多。– Blackhat, Defcon EXPliots 蠕蟲侵蝕著數(shù)據(jù)庫– Alpha Voyager– Spida worm攻擊oracle的白皮書3 oracle網(wǎng)站－Alerts Web pagehttp://otn.oracle.com/deploy/securi...Info&alerts.htmPrior to July 2000－One vulnerability acknowledged by OracleFrom July 2000 to August 2002－41 vulnerability reports on the Oracle websiteVulnerabilities reported onSecurityFocus.com－About 75 vulnerabilities reported about Oracle4 防火墻后邊神秘的oracle是安全的大多數(shù)的折衷安全是內部工作的結果內部威脅是最危險的數(shù)據(jù)庫中的非特權用戶5 面對這樣狀況我們要做什么對漏洞的修復警惕風險和威脅找到正確的解決方案二 Securing the Listener service1 監(jiān)聽（listener）的脆弱監(jiān)聽是客戶端和數(shù)據(jù)庫的代理重要性：i） 分離了鑒定和審核ii） 以一個獨立的進程運行iii） 接受命令執(zhí)行數(shù)據(jù)庫的外部任務監(jiān)聽服務的脆弱性在客戶端和數(shù)據(jù)庫建立的連接進程中，監(jiān)聽作為一個代理。客戶端指向對監(jiān)聽的一個連接，監(jiān)聽依次來和數(shù)據(jù)庫進行連接握手。問題存在于監(jiān)聽分離了鑒證，被外部數(shù)據(jù)庫控制治理。監(jiān)聽作為一個獨立的進程，在過去稱為UID，接受命令執(zhí)行任務。2 監(jiān)聽服務的安全問題帶有passWord的監(jiān)聽是安全的－默認配置是無－lsnrctl設在password必須建立一個健壯的password－對暴力破解是不易攻擊的保護好listener.ora文件－password存儲在這里不要遠程治理監(jiān)聽－在網(wǎng)絡上password是不加密的。如何對監(jiān)聽進行安全控制：首先：在監(jiān)聽服務中設置passwod，許多DBA甚至沒有意思到在必須在監(jiān)聽服務中設置password，監(jiān)聽服務接受遠程的命令，假如你沒有設置，任意人都可以發(fā)送命令。兩種設置方法：1) 使用監(jiān)聽控制實用工具 – lsnrctl.2) 在listener.ora文件中設置。你必須設置一個強壯的password，一個不少于8位用數(shù)字和非凡單詞組成的。假如設置比較脆弱，黑客程序將會試出你的密碼。Password是存在listener.ora的文件中，假如用戶可以讀取，可以利用password日志遠程的監(jiān)聽。同時也推薦你不要遠程治理listener,因為密碼在網(wǎng)上被明文傳播，有可能被監(jiān)聽。推薦你只用來進行連接。監(jiān)聽命令：－LSNRCTL> helpThe following operations are availablestart stop statusquit exit set*show*password rawmode displaymodetrc_file trc_Directory trc_levellog_file log_directory log_statuscurrent_listener connect_timeout startup_waittimeuse_plugandplay save_config_on_stop可以通過set password來進行設置。有兩個問題在password中：password是沒有l(wèi)ockout feature。命令審核是和標準oracle的審核數(shù)據(jù)是分開的。Password是不過期的，因為沒有passwod的治理特性。3 監(jiān)聽包（listener packet）當一個命令輸入到監(jiān)聽控制器中會發(fā)生：向監(jiān)聽發(fā)生一條命令，假如監(jiān)聽是遠程的，命令通過網(wǎng)絡傳播，上圖是發(fā)送的數(shù)據(jù)包，我們可以看到報頭中一些非凡的字符。在報尾可以看到listener要執(zhí)行的遠程命令，在這個例子中： COMMAND=status三 listener attacke demohttp://www.jammed.com/~jwa/hacks/security/tnscmd/1 緩沖區(qū)溢出：覆蓋堆棧的內存，執(zhí)行惡意的代碼。監(jiān)聽服務的緩沖區(qū)溢出：1） 一個連接字符串的例子：– (DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=))(COMMAND=status) (SERVICE=LIST80)(VERSION=135294976)))2） 尋找緩沖區(qū)溢出：改變適當?shù)闹悼纯磿l(fā)生什么情況– Try USER= with 4,000 Xs after it– Try SERVICE= with 4000 Xs after it– Etc…黑客是如何發(fā)現(xiàn)緩沖區(qū)溢出的：當一個命令發(fā)生到監(jiān)聽服務時，黑客試圖在連接字符中加很長的字符串，例如發(fā)生USER＝一個很上的字符串。假如數(shù)據(jù)庫開發(fā)人員只為username分配了一個1024字節(jié)長的單元，當發(fā)送超過了1024個字節(jié)，其他的字符將覆蓋后邊的單元。所以程序要能自能的對長度進行檢查。2 監(jiān)聽器服務緩沖區(qū)溢出i） Oracle 8.1.7發(fā)生1k的字節(jié)COMMAND= dwon機超過4k會使系統(tǒng)崩潰。ii) oracle 9.0.1發(fā)生1k的字節(jié)SERVICE=3 利用報頭區(qū)的值典型的命令：– .T.......6.,...............:................4.............(CONNECT_DATA=.)垃圾字符描述了報頭的信息– Offset to data– Size of connection string– Size of packet– Type of packet4 竊取監(jiān)聽命令發(fā)生一下的命令：– .T.......6.,...............:................4.............(CONNECT_DATA=.)改變報頭表明40字節(jié)– .......'...(DESCRIPTION=(ERR=1153)(VSNNUM=135290880)(ERROR_STACK=(ERROR=(CODE=1153)(EMFI=4)(ARGS='(CONNECT_DATA=.)ervices))CONNECT'))(ERROR=(CODE=3 03)(EMFI=1))))改變報頭表明200字節(jié)– ........'..>.H.......@(DESCRIPTION=(ERR=1153)(VSNNUM=135290880)(ERROR_STACK=(ERROR=(CODE=1153)(EMFI=4)(ARGS='(CONNECT_DATA=.)ervices))CONNECT_DATA=(SID=orcl)(global_dbname=test.com)(CID=(PROGRAM=C:Oraclebinsqlplus.exe)(HOST=anewman)(USER=aaron))')) (ERROR=(CODE=303)(EMFI=1))))假如你偽造數(shù)據(jù)包的大小，監(jiān)聽將隨意返回任何數(shù)據(jù)在它的命令字符中將超過你發(fā)生的字符長。例如一個用戶上交了100字符的命令，而對你的返回要10字符，監(jiān)聽將先返回10字符對你的原先的拷貝，但這樣的返回不會終結，還會返回90個先前命令的字符。可以獲得username，當然這樣是難的，不過這樣的危險還是存在的。6 外部程序動態(tài)庫和共享lib中的函數(shù)能被pl/sql調用的通過創(chuàng)建lib和packages進行設置：– CREATE LIBRARY test AS ‘msvcrt,dll’;CREATE PACKAGE test_function IS PROCEDUREexec(command IN CHAR);CREATE PACKAGE BODY test_function ISPROCEDURE exec(command IN CHAR)IS EXTERNAL NAME “system”LIBRARY test;有許多安去問題和外部服務進程有關，Xprocs答應在oracle中創(chuàng)建函數(shù)，參照DLL或共享庫文件在操作系統(tǒng)上。這個很強的特性使得數(shù)據(jù)庫能任何操作系統(tǒng)可以做得事情。當然權利越大責任也越大。創(chuàng)建一個Xproc可以指向操作系統(tǒng)的任何一個dll，使得你可以執(zhí)行操作系統(tǒng)的命令。同樣象獲得數(shù)據(jù)庫服務器的資源那樣，來獲得系統(tǒng)資源。第一關心的是你有沒有給一個用戶creat library和create procedure的特權。7 遠程回調外部進程非‘正式’支持但它很有效ExtPorcs 是監(jiān)聽的另一個連接點– SID_LIST_LISTENER =– (SID_LIST =– (SID_DESC =– (SID_NAME = PLSExtProc)– (ORACLE_HOME = E:oracleora81)－(PROGRAM = extproc)ExtProc任何審核一個用戶――它是無效的！！！！！8 默認設置－對外進程自動配置－Oracle 8i –YES－Oracle 9i－NOCall listener－Do not create ExtProc as another listener endpoint－Create its own entry in the listener.ora file三 Oracle in a Web application1 繞過防火墻的攻擊：防火墻的配置： – Block Access through port 1521– Only allow traffic to port 80– Block UDP as well as TCPSQL 注入– Not specific to Oracle－a web programming problem許多治理都認為防火墻的數(shù)據(jù)庫是安全的。及時是你的防護墻配置是很恰當?shù)模部梢酝ㄟ^web應用程序進行攻擊。這些攻擊主要是由于開發(fā)應用程序者一些錯誤的編程所致。我們可以發(fā)現(xiàn)許多站點在這個方面都很脆弱。雖然因數(shù)據(jù)庫不同攻擊而異，但基本問題還是相同的對所有的數(shù)據(jù)庫來講。最簡單的一個檢驗你的數(shù)據(jù)庫是否脆弱，是通過嵌入一個請求在沒有地方，然后來驗證結果。有些站點會返回語法錯誤。而許多只是捕捉了錯誤，沒有報道。當然這些站點仍然有脆弱，但是這些可以不被利用假如你不過任何錯誤消息發(fā)送反饋信息。2 How does it work修改請求改變這樣的查詢：– Select * from my_table where column_x = ‘1’To： – Select * from my_table where column_x = ‘1’UNION select password from DBA_USERSwhere ‘q’=‘q’exploit是如何工作的？它是通過改變一個sql語句成另為一種，例如上面的例子，一個簡單查詢變成了2個查詢。你可以嵌入第二條命令在查詢中在其他的數(shù)據(jù)庫中，Oracle不運行這樣做，而代替的是攻擊者需要去補充查詢請求的結尾。注重結尾的‘q’=’q’，這樣用的原因是我們可以處理第二條查詢，ASP將加他加入網(wǎng)頁的結尾，這條語句值是真的。3 Example jsp pagePackage myseverlets;<….>String sql = new String(“SELECT * FROMWebUsers WHERE Username=’” +request.getParameter(“username”) + “’AND Password=’” +request.getParameter(“password”) + “’”stmt = Conn.prepareStatement(sql)Rs = stmt.executeQuery()Exploiting the problem is mUCh simpler if you can access the source of the webpage. You should not be able to see this data, however there are many bugs thatallow you to view the source, and I’m sure there are still lots that have not yet beendiscovered.The problem with our ASP code is that we are concatenating our SQL statementtogether without parsing out any single quotes. Parsing out single quotes is a goodfirst step, but its recommended that you actually use parameterized SQL statementsinstead.4 有效的輸入假如用戶和密碼設置為：– Username: Bob– Password: Hardtoguesspasswordsql語句： – SELECT * FROM WebUsers WHEREUsername=’Bob’ ANDPassword=’Hardtoguess’這是我們一個典型的檢驗機制在登陸到web site上時，然后通過select語句和數(shù)據(jù)庫進行匹配，假如匹配建立，用戶被鑒別。假如在我們的代碼中記錄集合為空，將預備一個無效的username或者password，登陸被拒絕。5 黑客的輸入代替password的輸入：– Aa’ OR ‘A’=‘A‘相應的sql語句：– SELECT * FROM WebUsers WHEREUsername=’Bob’ AND Password=’Aa’ OR‘A’=‘A’黑客已經(jīng)進入了數(shù)據(jù)庫。6 Selecting from other TablesTo select data other than the rows from thetable being selected fromUNION the SQL Statement with theDBA_USERS view.這是另一個例子取得數(shù)據(jù)從其他的表中，這與當前的查詢無直接聯(lián)系。最好的方法是查找屏幕中包含選項的動態(tài)列表。假如這個sql只是注重一個單值，黑客不能得到其他數(shù)據(jù)。而且一些小技巧單一查詢變成2個查詢或者是把他們組合起來，這有點難道，你要匹配列數(shù)還有列的數(shù)據(jù)類型。然后一些服務器提供你一個錯誤的消息，使得這項是可行的。一些Error類似為：Number of columns does not match Or2nd column in UNION statement does not match the type of the first statement.7Sample ASP PageDim sqlSql = “SELECT * FROM PRODUCT WHEREProductName=’” & product_name & “’”Set rs = Conn.OpenRecordset(sql)‘ return the rows to the browserOnce again we have the ASP page. An attacker does not really need this, but it doesmake our lives easier for demonstration purposes. Once again we are not usingparameterized queries, but instead are concatenating a string to build our SQLstatement.8 有效的輸入：;Set the product_name to :– DVD PlayerThe SQL Statement is now:– SELECT * FROM PRODUCT WHEREProductName=’DVD Player’9 黑客輸入：;Set the product_name to :– test’ UNION select username, password fromdba_users where ‘a(chǎn)’ = ‘a(chǎn)The SQL Statement is now:– SELECT * FROM PRODUCT WHEREProductName=’test’ UNION select username,password from dba_users where ‘a(chǎn)’=‘a(chǎn)’黑客可以從password的拷貝中獲得一些雜亂的信息，來進行暴力破解。通過添加UNION的命令和第二語句，來得到dba_users表的內容。10 防止SQl的注入驗證用戶的輸入解析避免單一查詢?yōu)殡p重查詢使用對象參數(shù)來設在參數(shù)－ Bind variables回顧升級你的CGI腳步，ASP page，etc… 建議你對web設計者制訂程序的方針，主要著重使用參數(shù)化查許和對sql語句的無連接字符串。11 SQL Injection demoASP page, IIS web server ，Oracle database四 Database Vulnerabilities1 數(shù)據(jù)庫安全問題sqlnet.log普遍的oracle安全問題PL/SQL 的脆弱性。主機操作系統(tǒng)– Known Issues Installing Oracle－Lockdown Protection Procedures2 sqlnet.log當來自一個機器的連接失敗后會在目錄下建立一個文件，記錄失敗的連接。得到一些信息: username, IP，address, date, etc…3 普遍的oracle安全問題默認的passwords：– SYS, SYSTEM, DBSNMP, OUTLN,MDSYS,SCOTTPassword的治理特性沒有激活，通過pfiles文件執(zhí)行復用參數(shù)。– No password lockout by default– No password expiration by defaultPublic角色有對ALL_USERS視圖的答應權限。4 PL/SQL的脆弱性動態(tài)SQL的問題– EXECUTE IMMEDIATE– DBMS_SQL答應用戶傳遞sql語句中的參數(shù)危險性這些問題和sql 注入問題幾乎一樣。There are two ways to create SQL Statements on the fly in PL/SQL code – Executeimmediate and through the package DBMS_SQL.5 動態(tài)sql語句的例子CREATE PROCEDURE BAD_CODING_EXAMPLE ( NEW_PASSWORDVARCHAR2; ASTEST VARCHAR2;BEGIN-- DO SOME WORK HEREEXECUTE IMMEDIATE 'UPDATE ' TABLE_NAME ' SET ' COLUMN_NAME ' = ''' NEW_PASSWORD '''‘ WHERE USERNAME== ''' CURRENT_USER_NAME ''';END BAD_CODING_EXAMPLE;有效的輸入 from any OCI connection, ODBC connection, SQL*Plus, etc…– EXEC BAD_CODING_EXAMPLE( ‘testabc’ ;SQL Created– UPDATE APPLICATION_USERS SET PASSWORD = ‘testabc’WHERE USERNAME = ‘a(chǎn)aron’這個要求有一個有效的帳戶，和對過程的可執(zhí)行。黑客的輸入– EXEC BAD_CODING_EXAMPLE( ‘testabc’’, ADMIN=1,FULL_NAME=‘’TEST’ ;SQL Created– UPDATE APPLICATION_USERS SET PASSWORD = ‘testabc‘,ADMIN=1, FULL_NAME=‘TEST’ WHERE USERNAME =‘a(chǎn)aron’通過在輸入中附加一條語句，使得ADMIN列更新，使得用戶成為應用程序的治理員。注重我們應該四周另一列在末尾來出來最后的單一請求。6 Getting to the operating system在NT中oracle以localSystem身份，作為系統(tǒng)權限的一部分。在Unix為oracle user來運行，對oralce的所用文件有權限。進程：– UTL_FILE, UTL_HTTP系統(tǒng)權利類似于create library一但用于了對數(shù)據(jù)庫的權限，就可以進入操作系統(tǒng)，可以使用很多進程– UTL_FILE是最致命的，給你對文件的讀寫權。不過UTL_FILE_DIR參數(shù)可以進行限制，治理員可以修改這個參數(shù)。Oracle運行你加載libraries到一個獨立的進程空間使用EXTOROC可執(zhí)行文件。一些共享libraries和DLL也是可行的。7 操作系統(tǒng);Oracle 有許多tUID文件 ;Oratclsh was setUID root– TCL debugger– Allowed you to run a script as root– Change setuid immediately, even if you are not usingSetuid有很多問題，以前oracle捆綁了15setuid文件。最大的問題是TCL debugger，為應用程序設計在他們用于DBSNMP引擎前。這個debugger是steuid的而且由root擁有。所以很輕易獲得root權限，雖然有patch，不過還是有很多文件可以被利用的，這個問題即使是dbsnmp agent 不使用也會有。Other SetUID filesWere many until Oracle8i release 2– Cmctl, tnslsnr, etc…Very important one – oracle– Main database engineRelies on ORACLE_HOME directory– To load the pwdSID.ora file– Allows you to load a rogue database8.1.6已經(jīng)取消了許多SetUIDbits. Dbsnmp和oracle files然后保留，這兩個都需要SetUID才能恰當?shù)墓ぷ鳌Ｍ扑]使用不同策略，可以是任何人不可以可執(zhí)行權限除了所有者。Oracle是主要的可執(zhí)行程序，假如你設置為可執(zhí)行的話，任何在server有帳戶的人可以開啟一個實例，通過UTL_FILE package去寫一些文件。這些依靠于$ORACLE_HOME的環(huán)境變量的設置。8 安裝Oracleoracle在安裝的時候會在/tmp目錄下建立一些文件，雖然umask是022，不過有人可以在安裝之前生產(chǎn)一些目錄和文件，一些保留的舊文件使得黑客可以注入一些代碼在安裝的時候。而且有很多腳本使得代碼注入很簡單，黑客可以很輕松的創(chuàng)建root toolkit。9 鎖定操作系統(tǒng)在安裝之前對其他的os用戶進行鎖定設置TMP_DIR為一個安全的目錄鎖定ORACLE_HOME許可權限刪除setUID從所有的文件重新命令UNIXoracle的帳戶五 Resources, Conclusion, and Wrap UpHow to Combat Hackers：Stay patched –– http://metalink.oracle.comSecurity alerts:– www.oraclesecurity.net/resources/mailinglist.htmlSecurity Discussion Board– www.oraclesecurity.net/cgi-bin/ubb/ultimatebb.cgiCheck out security solutions at:– www.appsecinc.comDefense in depthMultiple levels of security– Perform audits and pen tests on your databaseon a regular basis– Encryption of data-in-motion– Encryption of data-at-rest– Monitor your log files– Implement intrusion detection