安華金和 | 100+數據庫漏洞再創(chuàng)新高，數據將安身何處？

【報告發(fā)布 · 觀點一致】

近日，由國家互聯(lián)網應急中心(以下簡稱：CNCERT)編寫的《2019年中國互聯(lián)網網絡安全報告》(以下簡稱：《報告》)正式發(fā)布。《報告》依托CNCERT多年來從事網絡安全監(jiān)測、預警和應急處置等工作的實際情況，對我國互聯(lián)網網絡安全狀況進行總體判斷和趨勢分析，具有重要的參考價值。

近年來，伴隨數據價值的不斷提升，數據安全問題日益嚴峻。作為海量數據的“電子化載體”，數據庫所需面對的安全隱患和風險也水漲船高;而在所有與數據庫有關的安全威脅中，“數據庫漏洞”絕對是跳不過的一大難點，它就像數據庫“木桶效應”中的那塊短板，如果不能及時發(fā)現(xiàn)和封堵，數據庫及其數據安全都將淪為“一紙空談”。

《報告》中也專門針對我國境內數據庫隱患排查及處置情況進行公布——經CNCERT分析發(fā)現(xiàn)，安全漏洞是導致網絡數據庫存在數據泄露隱患的主要因素，涉及的數據庫(服務)類型主要包括MongoDB、MySQL、ElasticSearch和Redis等，涉及的漏洞類型主要為未授權訪問和弱口令漏洞等。如下圖統(tǒng)計數據所示，由于數據庫漏洞的存在，安全受其影響的數據表數量(20000+)、數據量(1330+TB)和數據條數(1.78萬億+)都十分龐大!

【一騎絕塵 · 遙遙領先】

《報告》對于“安全漏洞是導致網絡數據庫存在數據泄露隱患的主要因素”這一結論，與安華金和“數據庫安全的主要威脅之一就來自于數據庫漏洞”的觀點高度一致;同時，多年以來對數據庫漏洞挖掘及安全防護工作的持續(xù)深入與沉淀，也為安華金和在該領域積累了豐富的經驗成果、領先的技術產品、完善的團隊體系以及更顯著的優(yōu)勢地位。

安華金和旗下數據庫攻防實驗室(DBSec Labs)創(chuàng)建于2010年11月，是國內第一批成立的、規(guī)模化的數據庫安全研究機構，配備有一支獨立、持久的，針對數據庫安全漏洞、數據庫攻擊技術模擬、數據庫安全防護技術等方向進行科學分析與研究工作的專業(yè)團隊。

DBSec Labs是國內具備“國際數據庫漏洞挖掘能力”的專業(yè)實驗室，也是國內首個針對數據庫漏洞進行系統(tǒng)分類與定性分析的專業(yè)實驗室，它在很長一段時期填補了國內數據庫漏洞研究方面的空白。在數據庫漏洞挖掘方面，DBSec Labs所涵蓋的數據庫范圍之廣、挖掘的數據庫漏洞數量之多，在國內首屈一指;截至目前，DBSec Labs已針對Oracle、DB2、Informix、mongoDB、Gbase、Kingbase、達夢等國內外知名數據庫廠商：

1. 累計挖掘、提交并認證數據庫漏洞65個

· 超危數據庫漏洞1個

· 高危數據庫漏洞35個

· 中危數據庫漏洞23個

· 低危數據庫漏洞6個

注：另有10個數據庫漏洞正在認證申請中。

2. 累計復現(xiàn)數據庫漏洞74個

· 高危數據庫漏洞23個

· 中危數據庫漏洞29個

· 低危數據庫漏洞5個

· 未定級數據庫漏洞17個

疫情期間，DBSec Labs持續(xù)開展數據庫漏洞挖掘及研究工作，成功發(fā)現(xiàn)DB2最新版本高危漏洞1個、中危漏洞2個，Informix數據庫堆棧溢出漏洞1個，以及國產數據庫漏洞若干;成功復現(xiàn)包括2019-2020年較新版本MySQL、PostgreSQL在內的多個數據庫漏洞。

此外，DBSec Labs根據多年以來對數據庫安全風險分析與防護實踐的經驗總結，陸續(xù)編寫并發(fā)布專門針對Oracle、MySQL、SQL Server、db2、MongoDB、PostgreSQL六大國際主流數據庫以及GBase、Kingbase、達夢三大國產主流數據庫的《安全配置指導手冊》。

【獨家研發(fā) · 驗證工具】

DBSec Labs通過整合自身對數據庫漏洞及數據庫攻擊技術的全部研究成果，獨家設計研發(fā)出一套專業(yè)、高效、可靠的數據庫漏洞驗證工具——支持多種主流數據庫類型、20+數據庫版本以及100+漏洞的驗證;漏洞類型更涵蓋算法破解、監(jiān)聽劫持、緩沖區(qū)溢出、sql注入、競態(tài)注入、符號鏈接、反序列化等;并支持滲透模塊與腳本免殺。此外，該款漏洞驗證工具還具備以下五點優(yōu)勢：

1. 自動快速識別數據庫服務

不同于“遍歷數據庫協(xié)議”的傳統(tǒng)數據庫識別方式，安華金和數據庫驗證工具采用更加高效的數據庫服務發(fā)現(xiàn)方法，可快速精準地發(fā)現(xiàn)網絡內存活的數據庫服務。

2. 全面的數據庫脆弱點檢查

一般的數據庫脆弱點檢查是從已有數據庫漏洞或數據庫版本信息上進行的，這種檢查方式并不全面;而安華金和數據庫驗證工具可根據數據庫漏洞的基本成因，設計出全方位的脆弱點檢查方向，覆蓋數據庫所有可能產生漏洞的安全因素，從操作系統(tǒng)、數據庫配置、數據庫使用三方位對數據庫的脆弱點進行全面檢查。

3. 多層次、多維度立體攻擊

為達到理想的滲透攻擊效果，安華金和數據庫漏洞驗證工具采用從“多個層次和多個維度”進行滲透攻擊的方式——其中多個層次指的是網絡層、數據庫層、操作系統(tǒng)層;多個維度指的是在不同層面，利用算法破解、監(jiān)聽劫持、緩沖區(qū)溢出、越權訪問、SQL注入、競態(tài)注入、符號鏈提取、越權滲透、越權覆蓋等多種類型的數據庫漏洞進行滲透。

4. 自動化、智能化滲透攻擊

滲透攻擊是一個復雜的過程，需要根據目標數據庫和環(huán)境的特點，針對性地利用適合的安全漏洞和攻擊腳本進行滲透攻擊。安華金和數據庫漏洞驗證工具能夠自動根據目標數據庫的操作系統(tǒng)類型/版本以及數據庫類型/版本，通過內建的漏洞攻擊策略，智能地選擇相匹配的滲透攻擊腳本對數據庫進行滲透攻擊;同時，攻擊完成后會根據滲透結果自動進行攻擊效果檢測，并根據攻擊效果智能選擇信息收集shell進行信息收集等后攻擊操作，整個過程無需人工干預。

5. 提供數據庫專有攻擊方法

安華金和數據庫驗證工具提供的“數據庫專有攻擊方式”有別于傳統(tǒng)的軟件攻擊方式，是只有在數據庫領域才能達成攻擊效果的攻擊方式;其中包含索引注入攻擊、觸發(fā)器注入攻擊、輔助函數注入攻擊、游標注入攻擊等等。這些專有攻擊方式涉及數據庫對象、數據庫事務類型、數據庫權限、數據格式等數據庫專業(yè)領域的相關數據處理能力。

DBSec Labs的研究工作并未止步于向數據庫廠商提交漏洞，而是基于所發(fā)現(xiàn)的問題設計出針對數據庫安全設計框架的改進方案——根據對國際主流數據庫廠商相關防護技術的深入研究，通過對各類方案的利弊分析，自主創(chuàng)新并提出具備國際水平、業(yè)內獨家的數據庫安全加固解決方案，更好地幫助國內數據庫廠商和廣大數據庫用戶構建有針對性的防護體系，滿足不同的數據庫安全防護需求，為中國數據庫及數據安全建設發(fā)展提供有力支撐，讓數據使用自由而安全!

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）