扫一扫
关注微信公众号

数据库安全隐患
2008-04-24   

数据库安全隐患-您的信用卡安全吗?

  每次黄金假期到来之前,网上商务交易总量都会达到历史新高。你今年是不是也在网上为家人朋友购买礼物了呢?如果是的话,不知道你有没有停下来考虑过网上购物的时候自己的信用卡信息到底是到哪里去了?当然,你的浏览器窗口底下是有个似乎让人放心的锁状图标,但是这样真的可以高枕无忧了吗?

  其实不尽然。这个锁的图标只能说明你的信用卡卡号在传送到网络上前被加密,然后到达目的地后会被解密。店主或卖主一般都会把你的信用卡卡号存储在订单处理数据库里——有时候他们并不会设置何时的加密措施或者其他安全保密措施。

  前些时候国外有一名匿名黑客使用Maxus的假名在他自己的网站上发表了下面这条信息:

  “嗨,我名字叫Maxus,我可以为您提供一个信用卡接口。您只要点击下面这个按钮,就可以直接从最大的网上商店数据库里得到一个真的信用卡。我不是开玩笑的。”

  他确实没有开玩笑。所有点击了他的网页中间那个大按钮的用户都接收到了一个随机抽取的信用卡详细信息——详细到足够让你去购物。虽然网络服务供应商和执法部门很快地把Maxus的网站封闭了,但是用户还可以查看到这个网站的镜象。

  在MSNBC的一次采访中,Maxus声称自己从CreditCards.com数据库里窃取了超过55000条个人信用卡记录。CreditCards.com是一个服务于上百个电子商务网站的信用卡处理器。这并不是他的第一次。警方怀疑Maxus是前苏联一个四人黑客团伙的一员。

  不幸的是,CreditCards.com事件只是连串网上数据库攻击事件中的最近的一件而已。2000年一月份,一群黑客利用微软SQL Server数据库产品的一个漏洞协助MSNBC记者从另一个电子商务网站上检索到2500条信用卡记录。九个月后,英国一名反对征收高燃油税的黑客用同样的方法洗劫了168个企业网站。

  数据库安全隐患-攻击

  这些攻击都是怎么样发生的?发出这些攻击的黑客都是利用了一些安全性不够强的数据库服务器那些“闪闪发光”的漏洞。这些数据库服务器把自己的大门敞开,让怀有恶意的人随意玩弄。

  微软的SQL Server数据库产品因为与微软的Internet Information Server网络服务器紧密结合而受到电子商务开发员的广泛欢迎。但是,这样简单容易的整合往往让开发员不经过必须的培训就尝试进行复杂重要的项目。

  在安装过程中,SQL Server提示用户创建一个系统管理员(或“sa”)帐户,该帐户拥有数据库的完全访问权限。在旧版本的SQL Server里,如果在安装程序的时候快速地一路点击过去而不加注意,很容易就会创建没有任何的密码保护的拥有完全访问权限的管理员帐户!SQL Server2000发行以后,微软特别在安装屏里添加了一个check box,要求管理员手动确认创建无密码保护的管理员帐号的安全风险。

SQL Server 2000 Installation

  不幸的是,仍然有很多网站在使用旧版本的SQL Server,而且黑客们都很清楚这个事实,要利用这个漏洞对他们来说简直轻而易举。如果没有防火墙,黑客只需要在自己的电脑上打开SQL Server客户软件,然后输入数据库服务器的地址(通常跟网站URL一样)。如果默认值还在,黑客马上就可以获得数据库的完全访问权,可以任意查看、修改或者删除里面的数据信息。

  数据库安全隐患

  补救办法

  如果你已经认识到了数据库安全问题的重要性,也许你就该问怎么做才可以保护企业的数据库不沦为Maxus或其他黑客的下一个攻击目标呢?其实只要花上一两个小时把企业加强数据库的安全控制就能够把可能会造成灾难性结果的黑客攻击扼杀于襁褓之中。

  如果你运行的是微软SQL Server,这个时候最重要的任务就是要确保你的“sa”帐户(当然还有其他的帐户!)要有一个安全性强大的密码来保护。只需要打开Enterprise Manager,找到你所连接的数据库的“Logins”选项。点击“sa”帐户后会出现以下窗口:

SQL Server Account Properties Screen

  如果没有设置密码(如上图中红色圈中部分),你的数据库就是出于完全开放的状态!任何一个可以使用你的电脑的用户只需要使用默认登录参数就可以任意访问你的数据库。键入密码,为“sa”帐户设置安全性强的密码。同样的方法为你的其他帐户和数据库加强安全控制。

  下一步是看看你数据库服务器主机里所运行的服务是不是都是必需的。如果你发现机器里运行着无关紧要的程序,就把它们卸除掉。它们只会给你的服务器添加不必要的麻烦,还可能会造成系统安全性漏洞。

  保证数据库安全性是每一个数据库管理员的职责,因此一定不能疏忽大意,才能保证企业组织的声誉。

热词搜索:

上一篇:提高web 2.0的安全性方法和策略
下一篇:数据库安全性策略

分享到: 收藏