与数据泄漏密切相关的是在数据库出现错误时不适当地处理这些错误。许多应用程序显示了具体的信息。 这些错误信息能够泄漏有关数据库结构的信息。这些信息能够用来实施攻击。要尽一切手段把这个错误登记在你自己的记录中,保证你的应用程序不向用户或者攻击 者返回任何有关这个错误的详细信息。
数据库及其包含的信息仍是黑客试图攻击的目标。黑客希望利用在数据库驱动的应用程序中的许多广泛传播的安全漏洞。这些漏洞许多是由不良设置或者实施造成的。下面是最常见的五个与数据库相关的安全漏洞:
• ·不良的口令政策
• ·SQL注入
• ·交叉站点脚本
• ·数据泄漏
• ·不适当的错误处理
令人难以置信的是,企业仍常常使用默认的或者软弱的口令来保护像数据库一样重要的在线资产。但是,这是一个很轻易解决的问题。补救措施是强制执行强盛的口令政策。也就是说,口令要定期变换,口令长度最少为10位数并且包含字母和符号。采用这种政策,你将关闭攻击者同向你的数据的方便之门。
SQL注入也依赖软弱的数据库实施,特殊是在如何向数据库发送SQL哀求方面的实施。假如这个数据库接受了用户提供的不干净的或者没有经过验证的数据产生的SQL请求,这就会为SQL注入攻击敞开大门。例如,通过修改从基于网络的格式受到的信息,攻击者能够提供恶意的SQL请求并且把指令直接发送到数据库。
要防止这种类型的攻击,在让这些数据接近你的脚本、数据访问程序和SQL查询之前,保证所有用户提供的数据是合法的是非常重要的。验证和清洁从用户那里收到的数据的另一个理由是防止交叉站点脚本攻击。这种攻击能够用来攻破连接到一个Web服务器的数据库。黑客通过一个网络蠕虫把
新疆商业网信息中心岚海搜集整理
