本文討論的是從一種安全的角度來看黑客是如何攻擊你的數據庫,我們應該做什麼防范。
一 State of Oracle Security (Oracle的安全狀態)
1 來之媒體的報道:
超過十分之一的於internet上公司數據庫有安全隱患。一份來之750家美國數據庫開發商開始對數據庫安全表示憂慮。
2 黑客世界的秘密:
討論會對數據庫被黑的報道增多。
– Blackhat, Defcon Expliots 蠕蟲侵蝕著數據庫
– Alpha Voyager
– Spida worm
攻擊Oracle的白皮書
3 Oracle網站-Alerts Web page
4 防火牆後邊神秘的Oracle是安全的
大多數的折衷安全是內部工作的結果
內部威脅是最危險的
數據庫中的非特權用戶
5 面對這樣狀況我們要做什麼
對漏洞的修復
警惕風險和威脅
找到正確的解決方案
二 Securing the Listener service
1 監聽(listener)的脆弱
監聽是客戶端和數據庫的代理
重要性:
i) 分離了鑒定和審核
ii) 以一個獨立的進程運行
iii) 接受命令執行數據庫的外部任務
監聽服務的脆弱性
在客戶端和數據庫建立的連接進程中,監聽作為一個代理。客戶端指向對監聽的一個連接,監聽依次來和數據庫進行連接握手。
問題存在於監聽分離了鑒證,被外部數據庫控制管理。監聽作為一個獨立的進程,在過去稱為UID,接受命令執行任務。
2 監聽服務的安全問題
帶有passWord的監聽是安全的
-默認配置是無
-lsnrctl設在passWord
必須建立一個健壯的passWord
-對暴力破解是不易攻擊的
保護好listener.ora文件
-passWord存儲在這裡
不要遠程管理監聽
-在網絡上passWord是不加密的。
如何對監聽進行安全控制:
首先:在監聽服務中設置passwod,許多DBA甚至沒有意思到在必須在監聽服務中設置passWord,監聽服務接受遠程的命令,如果你沒有設置,任意人都可以發送命令。
兩種設置方法:
1) 使用監聽控制實用工具 – lsnrctl.
2) 在listener.ora文件中設置。
你必須設置一個強壯的password,一個不少於8位用數字和特殊單詞組成的。如果設置比較脆弱,黑客程序將會試出你的密碼。Password是存在listener.ora的文件中,如果用戶可以讀取,可以利用passWord日志遠程的監聽。同時也推薦你不要遠程管理listener,因為密碼在網上被明文傳播,有可能被監聽。推薦你只用來進行連接。
監聽命令:
-LSNRCTL> help
The following Operations are available
start stop status
quit exit set*
show*
passWord rawmode displaymode
trc_file trc_directory trc_level
log_file log_directory log_status
current_listener connect_timeout startup_waittime
use_plugandplay save_config_on_stop
可以通過set password來進行設置。有兩個問題在password中:passWord是沒有lockout feature。命令審核是和標准Oracle的審核數據是分開的。PassWord是不過期的,因為沒有passwod的管理特性。
3 監聽包(listener packet)
當一個命令輸入到監聽控制器中會發生:
向監聽發生一條命令,如果監聽是遠程的,命令通過網絡傳播,上圖是發送的數據包,我們可以看到報頭中一些特殊的字符。在報尾可以看到listener要執行的遠程命令,在這個例子中:
COMMAND=status
三 listener attacke demo
1 緩沖區溢出:
覆蓋堆棧的內存,執行惡意的代碼。監聽服務的緩沖區溢出:
1) 一個連接字符串的例子:
– (DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=)(HO
ST=)(USER=))(COMMAND=status) (SERVICE=LIST80)(VERSION=135294976)))
2) 尋找緩沖區溢出:
改變適當的值看看會發生什麼情況
– Try USER= with 4,000 Xs after it
– Try SERVICE= with 4000 Xs after it
– Etc…
黑客是如何發現緩沖區溢出的:
當一個命令發生到監聽服務時,黑客試圖在連接字符中加很長的字符串,例如發生USER=一個很上的字符串。如果數據庫開發人員只為username分配了一個1024字節長的單元,當發送超過了1024個字節,其他的字符將覆蓋後邊的單元。所以程序要能自能的對長度進行檢查。
2 監聽器服務緩沖區溢出
i) Oracle 8.1.7
發生1k的字節COMMAND= dwon機
超過4k會使系統崩潰。
ii) Oracle 9.0.1
發生1k的字節SERVICE=
3 利用報頭區的值
典型的命令:
– .T.......6.,...............:................4.............(CONNECT_DATA=.)
垃圾字符描述了報頭的信息
– Offset to data
– Size of connection string
– Size of packet
– Type of packet
4 竊取監聽命令
發生一下的命令:
– .T.......6.,...............:................4.............(CONNECT_DATA=.)
改變報頭表明40字節
– ......."...(DESCRIPTION=(ERR=1153)(VSNNUM=135290880)(ERROR_
STACK=(ERROR=(CODE=1153)(EMFI=4)(ARGS='(CONNECT_DAT
A=.)ervices))CONNECT'))(ERROR=(CODE=3 03)(EMFI=1))))
改變報頭表明200字節
– ........"..>.H.......@(DESCRIPTION=(ERR=1153)(VSNNUM=135290880)
(ERROR_STACK=(ERROR=(CODE=1153)(EMFI=4)(ARGS='(CONNE
CT_DATA=.)ervices))CONNECT_DATA=(SID=orcl)(global_dbname=te
st.com)(CID=(PROGRAM=C:\Oracle\bin\sqlplus.exe)(HOST=anewman)
(USER=aaron))')) (ERROR=(CODE=303)(EMFI=1))))
如果你偽造數據包的大小,監聽將隨意返回任何數據在它的命令字符中將超過你發生的字符長。例如一個用戶上交了100字符的命令,而對你的返回要10字符,監聽將先返回10字符對你的原先的拷貝,但這樣的返回不會終結,還會返回90個先前命令的字符。可以獲得username,當然這樣是難的,不過這樣的危險還是存在的。
6 外部程序
動態庫和共享lib中的函數能被pl/sql調用的通過創建lib和packages進行設置:
– CREATE LIBRARY test AS ‘msvcrt,dll’;
CREATE PACKAGE test_function IS PROCEDURE
exec(command IN CHAR);
CREATE PACKAGE BODY test_function IS
PROCEDURE exec(command IN CHAR)
IS EXTERNAL NAME “system”
LIBRARY test;
有許多安去問題和外部服務進程有關,Xprocs允許在Oracle中創建函數,參照DLL或共享庫文件在操作系統上。這個很強的特性使得數據庫能任何操作系統可以做得事情。當然權利越大責任也越大。創建一個Xproc可以指向操作系統的任何一個dll,使得你可以執行操作系統的命令。同樣象獲得數據庫服務器的資源那樣,來獲得系統資源。第一關心的是你有沒有給一個用戶creat library和create procedure的特權。
7 遠程回調外部進程
非‘正式’支持
但它很有效
ExtPorcs 是監聽的另一個連接點
– SID_LIST_LISTENER =
– (SID_LIST =
– (SID_DESC =
– (SID_NAME = PLSExtProc)
– (ORACLE_HOME = E:\Oracle\ora81)
-(PROGRAM = extproc)
ExtProc任何審核一個用戶
――它是無效的!!!!!
8 默認設置-對外進程
自動配置
-Oracle 8i –YES
-Oracle 9i-NO
Call listener
-Do not create ExtProc as another listener endpoint
-Create its own entry in the listener.ora file
四Oracle in a Web application
1 繞過防火牆的攻擊:
防火牆的配置:
– Block Access through port 1521
– Only allow traffic to port 80
– Block UDP as well as TCP
SQL 注入
– Not specific to Oracle
-a web programming problem
許多管理都認為防火牆的數據庫是安全的。及時是你的防護牆配置是很恰當的,也可以通過web應用程序進行攻擊。這些攻擊主要是由於開發應用程序者一些錯誤的編程所致。我們可以發現許多站點在這個方面都很脆弱。雖然因數據庫不同攻擊而異,但基本問題還是相同的對所有的數據庫來講。簡單的一個檢驗你的數據庫是否脆弱,是通過嵌入一個請求在沒有地方,然後來驗證結果。有些站點會返回語法錯誤。而許多只是捕獲了錯誤,沒有報道。當然這些站點仍然有脆弱,但是這些可以不被利用如果你不過任何錯誤消息發送反饋信息。
2 How does it work?
修改請求
改變這樣的查詢:
– Select * from my_table where column_x = ‘1’
To: – Select * from my_table where column_x = ‘1’
UNION select passWord from DBA_USERS
where ‘q’=‘q’
exploit是如何工作的?它是通過改變一個sql語句成另為一種,例如上面的例子,一個簡單查詢變成了2個查詢。你可以嵌入第二條命令在查詢中在其他的數據庫中,Oracle不運行這樣做,而代替的是攻擊者需要去補充查詢請求的結尾。注意結尾的‘q’=’q’,這樣用的原因是我們可以處理第二條查詢,ASP將加他加入網頁的結尾,這條語句值是真的。
3 Example JSP page
Package myseverlets;
<….>
String sql = new String(“SELECT * FROM
WebUsers WHERE Username=’” +
request.getParameter(“username”) + “’
AND PassWord=’” +
request.getParameter(“passWord”) + “’”
stmt = Conn.prepareStatement(sql)
Rs = stmt.executeQuery()
Exploiting the problem is much simpler if you can Access the source of the web
page. You should not be able to see this data, however there are many bugs that
allow you to vIEw the source, and I’m sure there are still lots that have not yet been
discovered.
The problem with our ASP code is that we are concatenating our SQL statement
together without parsing out any single quotes. Parsing out single quotes is a good
first step, but its recommended that you actually use parameterized SQL statements
instead.
4 有效的輸入
如果用戶和密碼設置為:
– Username: Bob
– Password: HardtoguesspassWord
sql語句: – SELECT * FROM WebUsers WHERE
Username=’Bob’ AND
PassWord=’Hardtoguess’
這是我們一個典型的檢驗機制在登陸到web site上時,然後通過select語句和數據庫進行匹配,如果匹配建立,用戶被鑒別。如果在我們的代碼中記錄集合為空,將准備一個無效的username或者passWord,登陸被拒絕。
5 黑客的輸入
代替passWord的輸入:
– Aa’ OR ‘A’=‘A‘
相應的sql語句:
– SELECT * FROM WebUsers WHERE
Username=’Bob’ AND PassWord=’Aa’ OR
‘A’=‘A’
黑客已經進入了數據庫。
6 Selecting from other Tables
? To select data other than the rows from the
table being selected from
? UNION the SQL Statement with the
DBA_USERS vIEw.
這是另一個例子取得數據從其他的表中,這與當前的查詢無直接聯系。最好的方法是查找屏幕中包含選項的動態列表。如果這個sql只是注意一個單值,黑客不能得到其他數據。
而且一些小技巧單一查詢變成2個查詢或者是把他們組合起來,這有點難道,你要匹配列數還有列的數據類型。然後一些服務器提供你一個錯誤的消息,使得這項是可行的。一些Error類似為:
Number of columns does not match
Or
2nd column in UNION statement does not match the type of the first statement.
7Sample ASP Page
Dim sql
Sql = “SELECT * FROM PRODUCT WHERE
ProductName=’” & product_name & “’”
Set rs = Conn.OpenRecordset(sql)
‘ return the rows to the browser
Once again we have the ASP page. An attacker does not really need this, but it does
make our lives easIEr for demonstration purposes. Once again we are not using
parameterized querIEs, but instead are concatenating a string to build our SQL
statement.
8 有效的輸入:
? Set the product_name to :
– DVD Player
? The SQL Statement is now:
– SELECT * FROM PRODUCT WHERE
ProductName=’DVD Player’
9 黑客輸入:
? Set the product_name to :
– test’ UNION select username, passWord from
dba_users where ‘a’ = ‘a
? The SQL Statement is now:
– SELECT * FROM PRODUCT WHERE
ProductName=’test’ UNION select username,
passWord from dba_users where ‘a’=‘a’
黑客可以從passWord的拷貝中獲得一些雜亂的信息,來進行暴力破解。通過添加UNION的命令和第二語句,來得到dba_users表的內容。
10 防止SQl的注入
驗證用戶的輸入
解析避免單一查詢為雙重查詢
使用對象參數來設在參數
- Bind variables
回顧升級你的CGI腳步,ASP page,etc… 建議你對web設計者制訂程序的方針,主要著重使用參數化查許和對sql語句的無連接字符串。
11 SQL Injection demo
ASP page, IIS web server ,Oracle database
五 Database VulnerabilitIEs
1 數據庫安全問題
sqlnet.log
普遍的Oracle安全問題
PL/SQL 的脆弱性。
主機操作系統
– Known Issues Installing Oracle
-Lockdown Protection Procedures
2 sqlnet.log
當來自一個機器的連接失敗後會在目錄下建立一個文件,記錄失敗的連接。
得到一些信息: username, IP,address, date, etc…
3 普遍的Oracle安全問題
默認的passWords:
– SYS, SYSTEM, DBSNMP, OUTLN,MDSYS,SCOTT
PassWord的管理特性沒有激活,通過pfiles文件執行復用參數。
– No passWord lockout by default
– No passWord expiration by default
Public角色有對ALL_USERS視圖的允許權限。
4 PL/SQL的脆弱性
動態SQL的問題
– EXECUTE IMMEDIATE
– DBMS_SQL
允許用戶傳遞sql語句中的參數危險性
這些問題和sql 注入問題幾乎一樣。
There are two ways to create SQL Statements on the fly in PL/SQL code – Execute
immediate and through the package DBMS_SQL.
5 動態sql語句的例子
CREATE PROCEDURE BAD_CODING_EXAMPLE ( NEW_PASSWord
VARCHAR2 ) AS
TEST VARCHAR2;
BEGIN
-- DO SOME WORK HERE
EXECUTE IMMEDIATE 'UPDATE ' || TABLE_NAME || ' SET ' ||
COLUMN_NAME || ' = ''' || NEW_PASSWord || '''‘ WHERE USERNAME=
= ''' || CURRENT_USER_NAME || ''';
END BAD_CODING_EXAMPLE;
有效的輸入 from any OCI connection, ODBC connection, SQL*Plus, etc…
– EXEC BAD_CODING_EXAMPLE( ‘testabc’ );
? SQL Created
– UPDATE APPLICATION_USERS SET PASSWord = ‘testabc’
WHERE USERNAME = ‘aaron’
這個要求有一個有效的帳戶,和對過程的可執行。
黑客的輸入
– EXEC BAD_CODING_EXAMPLE( ‘testabc’’, ADMIN=1,
FULL_NAME=‘’TEST’ );
SQL Created
– UPDATE APPLICATION_USERS SET PASSWord = ‘testabc‘,
ADMIN=1, FULL_NAME=‘TEST’ WHERE USERNAME =
‘aaron’
通過在輸入中附加一條語句,使得ADMIN列更新,使得用戶成為應用程序的管理員。
注意我們應該附近另一列在末尾來出來最後的單一請求。 6 Getting to the Operating system
在NT中Oracle以localSystem身份,作為系統權限的一部分。
在Unix為Oracle user來運行,對oralce的所用文件有權限。
進程:– UTL_FILE, UTL_HTTP
系統權利類似於create library
一但用於了對數據庫的權限,就可以進入操作系統,可以使用很多進程– UTL_FILE是最致命的,給你對文件的讀寫權。不過UTL_FILE_DIR參數可以進行限制,管理員可以修改這個參數。Oracle運行你加載libraries到一個獨立的進程空間使用EXTOROC可執行文件。一些共享librarIEs和DLL也是可行的。
7 操作系統
? Oracle 有許多tUID文件
? Oratclsh was setUID root
– TCL debugger
– Allowed you to run a script as root
– Change setuid immediately, even if you are not using
Setuid有很多問題,以前Oracle捆綁了15setuid文件。最大的問題是TCL debugger,為應用程序設計在他們用於DBSNMP引擎前。這個debugger是steuid的而且由root擁有。所以很容易獲得root權限,雖然有patch,不過還是有很多文件可以被利用的,這個問題即使是dbsnmp agent 不使用也會有。
Other SetUID files
? Were many until Oracle8i release 2
– Cmctl, tnslsnr, etc…
? Very important one – Oracle
– Main database engine
? RelIEs on Oracle_HOME directory
– To load the pwdSID.ora file
– Allows you to load a rogue database
8.1.6已經取消了許多SetUIDbits. Dbsnmp和oracle files然後保留,這兩個都需要SetUID才能恰當的工作。推薦使用不同策略,可以是任何人不可以可執行權限除了所有者。Oracle是主要的可執行程序,如果你設置為可執行的話,任何在server有帳戶的人可以開啟一個實例,通過UTL_FILE package去寫一些文件。這些依賴於$Oracle_HOME的環境變量的設置。
8 安裝Oracle
Oracle在安裝的時候會在/tmp目錄下建立一些文件,雖然umask是022,不過有人可以在安裝之前生產一些目錄和文件,一些保留的舊文件使得黑客可以注入一些代碼在安裝的時候。而且有很多腳本使得代碼注入很簡單,黑客可以很輕松的創建root toolkit。
9 鎖定操作系統
在安裝之前對其他的os用戶進行鎖定
TMP_DIR為一個安全的目錄
鎖定Oracle_HOME許可權限
刪除setUID從所有的文件
重新命令UNIXOracle的帳戶