【原创】一个简单的数据库安全评估分享

第一 漏洞及危害分级

   企业的数据依据业务特性具有不同的价值，而风险的判定也不可以偏概全，以下通过分级和关联判定来为漏洞提供分级指引：‍

第二 常用工具

1.商业化数据库安全工具

2.数据库审计

3.数据库防火墙

4.数据库代理工具

5.日志分析工具

6.DSQLTools(SQL注入工具)

7.nbsi3.0(MSS-QL注入工具)

8.mysqlweak(Mysql数据库弱口令扫描器)

9.pangolin(数据库注入工具)

11.db2utils(DB2漏洞利用工具)

12.oscanner(Oracle扫描工具)

13.oracle_chec-kpwd_big(Oracle弱口令  猜解工具)等‍

第三 评估步骤

1.信息收集和分析：

a)对目标的基本环境进行一个初步了解，获得相关信息，包括软硬件环境、网络环境、系统环境、各类配置、应用部署、用户设置、拓扑情况、应用使用甚至厂商情况有一个基本的了解，同时针对性的分析数据库存在的已知风险，为更深入地进行渗透测试提供素材支持，制定出具有环境倾向的渗透测试方案，数据库类型从类型上应考虑支持关系型数据库和非关系型数据库等，包括MySQL、MariaDB、Percona Server、PostgreSQL、Microsoft Access、Microsoft SQL Server、Google Fusion Tables、FileMaker、Oracle数据库、Sybase、dBASE、Clipper、FoxPro、foshub、mongodb等；

b)信息收集的内容应基本包括数据库类型、数据库端口，账号，口令、权限、版本、配置等基本信息，为进行深层次的渗透提供依据；

2.渗透测试：使用的攻击技术，针对分析出的数据库漏洞进行深入的探测节；

a)渗透测试模块包括以下步骤：

步骤一：利用扫描或嗅探技术对目标任务进行测试，若识别出口令为空，则利用攻击工具或手工攻击方式对数据库进行违规操作；若识别出口令为弱，则使用暴力攻击，不断输入枚举的用户名和密码组合，直到可以登录为止，获得口令，进而利用攻击工具或手工攻击方式对数据库进行违规操作；

步骤二：若识别不出空/弱口令，则扫描目标任务看其是否存在安全漏洞，若存在安全漏洞，则利用漏洞进行渗透测试，其中主要的漏洞类型包括：

(1)权限漏洞：包括：①权限提升漏洞：在内置函数、SQL操作指令中找到安全漏洞，利用漏洞将普通用户的权限提升为管理员权限，进而可以获取数据库资料，恶意篡改数据；②随意授予权限漏洞；利用用户的普通权限对数据库执行自身权限以外的操作；

(2)安装漏洞：包括：①安全设置级别低；②启动不必要的数据库功能；

(3)产品漏洞：包括：①拒绝服务攻击漏洞；向目标任务发送少量数据导致其资源被大幅占用，从而拒绝服务；②缓冲区溢出漏洞：向有限空间的缓冲区拷贝一个过长的字符串，可导致程序瘫痪，造成宕机、重启；或者运行恶意代码，执行任意指令，获得权限；

3.审计

a)通过已经发现的信息对数据库进行审计工作，精确地监控所有访问及操作请求。

b)数据库审计实时监控数据库活动，将网络与网关相连，监听网络上的数据包，读取包体信息，将包体信息连同捕获的接收时间、发送端IP和接收端IP、库、表、函数重要信息字段连同SQL操作命令保存至对应的数据库表中，同时记录这些SQL操作是否成功；

4.痕迹处理：清除攻击痕迹，包括清除应用程序日志、安全日志、系统日志；(1)清除目标任务应用程序日志；(2)清除目标任务安全日志；(3)清除目标任务系统日志。

5.评估：根据攻击结果，对数据库的安全性进行评估，并生成报告。