上周,安全研究专家David Litchfield发现了一种能让黑客访问Oracle数据库的新攻击方法,并发表了关于这个新攻击类型的技术细节。
这种新的攻击方法被称为侧面SQL注入(lateral SQL injection),利用这个方法能够非法获取Oracle服务器上的数据库管理员权限,这样就可以修改或删除数据库的数据,甚至还可以在服务器上安装软件。
Litchfield在二月的黑客大会上首次披露了这种类型的攻击,并在上周四发表了一篇文章里详细讲述了关于这种工具的技术细节问题。
在SQL注入攻击中,攻击者往往会巧妙地设计一些搜索条件,骗过数据库运行非法的SQL指令。在此之前,安全专家都一直认为SQL注入只有在攻击者将字符型字符串输入到数据库的情况下才会生效,但Litchfield在文章中展示了用新的日期和数字数据类型也能进行SQL注入攻击。这种攻击的目标编程语言是广为Oracle开发人员所使用的Procedural语言和SQL语言。
Litchfield并不确定这种侧面SQL攻击漏洞是否广泛存在,不过他认为这种攻击有可能会在某些情况下引发严重的损害。如果你正好使用的是Oracle数据库,而且你在数据库上编写了自己的应用程序,那么你可能会编写进了带有漏洞的代码。虽然这不是什么可以让天塌下来的大事,不过大家都应当对此有所警觉。
数据库程序员应当检查他们的代码,确保所有对于数据的处理都是合法的而不是注入的SQL指令。
Oracle目前还没有对此发表任何回应性的评论
本文作者: