保證數(shù)據(jù)庫安全的幾個(gè)要點(diǎn)

2021-07-26 14:22 作者：admin 瀏覽量：

數(shù)據(jù)庫及其包含的信息仍是黑客試圖攻擊的目標(biāo)。黑客希望利用在數(shù)據(jù)庫驅(qū)動(dòng)的應(yīng)用程序中的許多廣泛傳播的安全漏洞。這些漏洞許多是由不良設(shè)置或者實(shí)施造成的。下面是最常見的五個(gè)與數(shù)據(jù)庫相關(guān)的安全漏洞:

·不良的口令政策

·SQL注入

·交叉站點(diǎn)腳本

·數(shù)據(jù)泄漏

·不適當(dāng)?shù)腻e(cuò)誤處理

令人難以置信的是，企業(yè)仍常常使用默認(rèn)的或者軟弱的口令來保護(hù)像數(shù)據(jù)庫一樣重要的在線資產(chǎn)。但是，這是一個(gè)很輕易解決的問題。補(bǔ)救措施是強(qiáng)制執(zhí)行強(qiáng)盛的口令政策。也就是說，口令要定期變換，口令長(zhǎng)度最少為10位數(shù)并且包含字母和符號(hào)。采用這種政策，你將關(guān)閉攻擊者同向你的數(shù)據(jù)的方便之門。

SQL注入也依賴軟弱的數(shù)據(jù)庫實(shí)施，特殊是在如何向數(shù)據(jù)庫發(fā)送SQL哀求方面的實(shí)施。假如這個(gè)數(shù)據(jù)庫接受了用戶提供的不干凈的或者沒有經(jīng)過驗(yàn)證的數(shù)據(jù)產(chǎn)生的SQL請(qǐng)求，這就會(huì)為SQL注入攻擊敞開大門。例如，通過修改從基于網(wǎng)絡(luò)的格式受到的信息，攻擊者能夠提供惡意的SQL請(qǐng)求并且把指令直接發(fā)送到數(shù)據(jù)庫。

要防止這種類型的攻擊，在讓這些數(shù)據(jù)接近你的腳本、數(shù)據(jù)訪問程序和SQL查詢之前，保證所有用戶提供的數(shù)據(jù)是合法的是非常重要的。驗(yàn)證和清潔從用戶那里收到的數(shù)據(jù)的另一個(gè)理由是防止交叉站點(diǎn)腳本攻擊。這種攻擊能夠用來攻破連接到一個(gè)Web服務(wù)器的數(shù)據(jù)庫。黑客通過一個(gè)網(wǎng)絡(luò)蠕蟲把javascript等客戶方面的腳本注入到一個(gè)網(wǎng)絡(luò)應(yīng)用程序的輸出中。這些腳本用于收集cookie數(shù)據(jù)。這些數(shù)據(jù)經(jīng)常被錯(cuò)誤地用來存儲(chǔ)用戶賬戶登錄信息等資料。

一個(gè)經(jīng)常被忽略的問題是什么時(shí)候建立一個(gè)數(shù)據(jù)庫應(yīng)用程序是泄漏數(shù)據(jù)。這是敏感的數(shù)據(jù)要發(fā)送的地方或者是非故意踢敏感數(shù)據(jù)的地方。這個(gè)錯(cuò)誤將導(dǎo)致不能保證訪問數(shù)據(jù)庫備份磁帶的安全和控制這種訪問。通常，更敏感的數(shù)據(jù)產(chǎn)生于有關(guān)數(shù)據(jù)的合法查詢的答案，就像從醫(yī)療處方判定疾病一樣。常用的解決方案是監(jiān)視查詢方式以檢測(cè)這種行動(dòng)。

與數(shù)據(jù)泄漏密切相關(guān)的是在數(shù)據(jù)庫出現(xiàn)錯(cuò)誤時(shí)不適當(dāng)?shù)靥幚磉@些錯(cuò)誤。許多應(yīng)用程序顯示了具體的信息。這些錯(cuò)誤信息能夠泄漏有關(guān)數(shù)據(jù)庫結(jié)構(gòu)的信息。這些信息能夠用來實(shí)施攻擊。要盡一切手段把這個(gè)錯(cuò)誤登記在你自己的記錄中，保證你的應(yīng)用程序不向用戶或者攻擊者返回任何有關(guān)這個(gè)錯(cuò)誤的詳細(xì)信息。
 

中國首款I(lǐng)T服務(wù)微信小程序“企如意”，一款真心實(shí)意為企業(yè)謀福利的知音。IT產(chǎn)品一切應(yīng)有盡有，讓您的企業(yè)輕松提升工作效率！自小程序上線以來，用戶注冊(cè)量已超過50000人，IT服務(wù)產(chǎn)品下單量已達(dá)到6500單。因?yàn)閷Ｗ?，所以專業(yè)，工單服務(wù)好評(píng)率也高達(dá)98%以上。小程序，大作為，真正成為您企業(yè)績(jī)效倍增的加速器！幫助企業(yè)的同時(shí)還有更多好禮相送。

更多活動(dòng)請(qǐng)關(guān)注“企如意”小程序！