2008年4月25日�����,據(jù)國外媒體報(bào)道,安全研究人員公布了一種能使黑客攻擊Oracle數(shù)據(jù)庫的新方法��。
該研究人員稱�����,為了能夠改變或刪除數(shù)據(jù)��,甚至安裝軟件,這種稱為側(cè)面SQL注入的攻擊可被用于獲取Oracle服務(wù)器上數(shù)據(jù)庫管理員的特權(quán)�����。這位研究人員在2月份的Black Hat Washington大會上也曾透露了這種攻擊�����,但在本星期四他發(fā)表了一篇帶有這種攻擊技術(shù)細(xì)節(jié)的一篇論文。
在一次SQL注入攻擊中��,黑客們能夠創(chuàng)建專門偽造的搜索詞語��,這種詞語可欺騙數(shù)據(jù)庫運(yùn)行SQL命令����。以前����,安全專家們認(rèn)為只有攻擊者將字符串輸入到數(shù)據(jù)庫中,SQL 注入式攻擊才能工作�,但是新型的攻擊可以通過被稱為日期型和數(shù)字型的新數(shù)據(jù)類型實(shí)現(xiàn)����。
新型攻擊針對的是由Oracle開發(fā)人員所使用的過程語言或SQL編程語言�。
據(jù)了解,該安全研究人員是一位著名的數(shù)據(jù)庫黑客,他主要被認(rèn)為是著名的研究人員,他曾公布了用于2003 SQL Slammer蠕蟲的漏洞細(xì)節(jié)�,這種蠕蟲針對的是微軟的SQL Server數(shù)據(jù)庫���。他認(rèn)為這種側(cè)面SQL注入式攻擊能夠在某些情況下引起真正的破壞����。
“如果你碰巧正使用Oracle���,而且你在上面編寫自己的應(yīng)用程序,那么,你可能正在編寫易受攻擊的代碼��,”他說���。他認(rèn)為數(shù)據(jù)庫的程序設(shè)計(jì)人員應(yīng)當(dāng)檢查他們的代碼�����,以確保其代碼能夠檢查并保障它所處理的數(shù)據(jù)是合法的,不應(yīng)當(dāng)是可被注入的SQL命令�。
對此新型攻擊�,Oracle并沒有任何官方回復(fù)��。
