Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Oracle [игнор отключен] [закрыт для гостей] / Взлом и защита Oracle9i / 14 сообщений из 14, страница 1 из 1
27.05.2003, 11:33:31
    #32169373
DAR
DAR
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Добрый день.
Уважаемые заседатели форума, у меня возникла необходимость показать уязвимость Oracle и потом самому защитить от данной уязвимости. Подскажите где можно найти что нить похожее или почитать. Желательно конечно с примерами.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 12:20:53
    #32169432
Oracle X-pert
Oracle X-pert
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Jest top 10!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 12:25:28
    #32169440
DAR
DAR
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
А в чем шутка? Мне просто надо написать курсовик, который бы демонстрировал уязвимость Oracle и сделать заплатку.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 12:30:04
    #32169446
Oracle X-pert
Oracle X-pert
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Sorry, I can't. Maybe anyware...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 13:05:20
    #32169496
killed
killed
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
вот один из вариантов который сразу приходит на ум ;-)

злоумышленник завладел паролем рута на сервере...
Чтобы не допустить этого, я в своем курсовике предлагаю следующие советы:
а)
б)
в)


PS И кто Вам такие темы дает для курсовиков. Уму непостижимо.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 13:09:00
    #32169503
DAR
DAR
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Например какие?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 13:14:19
    #32169510
Delerium
Delerium
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
1) easy passwords - brute force. Mozhno govoritj pro proverki paroljei, account locking ...

2) SQL injection
http://www.dbazine.com/cook8.html
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 14:43:37
    #32169634
DimaR
DimaR
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Удаленное переполнение буфера в Oracle Database

Классическое переполнение стека обнаружено в базе данных Oracle. Удаленный атакующий может получить полный контроль над процессом Oracle.


Подробнее: http://www.bezpeka.com/news/2003/05/0502.html
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 14:49:24
    #32169649
DAR
DAR
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Хорошо, но тогда как можно защитить от данной ошибке?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 15:01:50
    #32169670
DimaR
DimaR
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Может присутствующие здесь еще и по абзацу текста скинутся, и намылять диплом сразу? :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 15:04:07
    #32169678
Delerium
Delerium
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Apply patch.
Informacija o Oracle Security:
http://otn.oracle.com/deploy/security/content.html
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 15:09:27
    #32169692
softy
softy
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
"По умолчанию, 'CREATE DATABASE LINK' может выполнять пользователь с "CONNECT"

В контексте данного предложения: хотя-бы не давать юзерам роль "CONNECT" и RESOURCE, а давать конкретно через привелегии по минимому, если нет необходимости использовать линки:
grant create session, create table, create procedure to <user>;
alter user <user> quota 10M on users;
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 15:13:27
    #32169708
DAR
DAR
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
А вообще, возможно напримере показать уязвимость системы и самому ее залатать?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
27.05.2003, 16:30:21
    #32169878
SY
SY
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Взлом и защита Oracle9i
Here is a simple script to check if your database is vulnerable to "default password" login:

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
select  username  "User(s) with Default Password!" 
  from  dba_users
  where password in
                   (
                    'E066D214D5421CCC',   -- dbsnmp
 
                    '24ABAB8B06281B4C',   -- ctxsys
 
                    '72979A94BAD2AF80',   -- mdsys
 
                    'C252E8FA117AF049',   -- odm
 
                    'A7A32CD03D3CE8D5',   -- odm_mtr
 
                    '88A2B2C183431F00',   -- ordplugins
 
                    '7EFA02EC7EA6B86F',   -- ordsys
 
                    '4A3BA55E08595C81',   -- outln
 
                    'F894844C34402B67',   -- scott
 
                    '3F9FBD883D787341',   -- wk_proxy
 
                    '79DF7A1BD138CF11',   -- wk_sys
 
                    '7C9BA362F8314299',   -- wmsys
 
                    '88D8364765FCE6AF',   -- xdb
 
                    'F9DA8977092B7B81',   -- tracesvr
 
                    '9300C0977D7DC75E',   -- oas_public
 
                    'A97282CE3D94E29E',   -- websys
 
                    'AC9700FD3F1410EB',   -- lbacsys
 
                    'E7B5D92911C831E1',   -- rman
 
                    'AC98877DE1297365',   -- perfstat
 
                    'D4C5016086B2DC6A',   -- sys
 
                    'D4DF7931AB130E37'    -- system
 
                   )
/


And this one to check for users with password same as username:

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
create or replace
  procedure sys.same_password
    as
          -- Find users that have their password equal to their username
 
         v_same_as_username_password varchar2( 30 );
         cursor cur
           is
             select  username,
                     password
               from  dba_users;
    begin
        for rec in cur loop
          execute immediate 'alter user ' || rec.username ||
                            ' identified by ' || rec.username;
          select  password
            into  v_same_as_username_password
            from  dba_users
            where username = rec.username;
          if v_same_as_username_password = rec.password
            then
              dbms_output.put_line(rec.username);
          else
             -- change password back to what it was
 
            execute immediate 'alter user ' || rec.username ||
                              ' identified by values ''' || rec.password || '''';
          end if;
        end loop;
end;
/


SY.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Oracle [игнор отключен] [закрыт для гостей] / Взлом и защита Oracle9i / 14 сообщений из 14, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 342ms
Закрыть
start [/forum/topic.php?fid=52&mobile=1&tid=1990331]:
 0ms
get settings:
 7ms
get forum list:
 14ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 40ms
get topic data:
 10ms
get forum data:
 2ms
get page messages:
 54ms
get tp. blocked users:
 1ms
others: 208ms
total:  342ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]