XakepRU 30 апр 2015 в 11:42

Атака на оракула. Подробный гайд по векторам атак на Oracle DB

17 мин

35K

Блог компании Журнал ХакерИнформационная безопасность*Oracle*SQL*

+19

Комментарии 5

xtender 30 апр 2015 в 14:45

Я регистрировал еще пару внутренних уязвимостей(закрыты в июле прошлого года), которые как мне кажется не входят ни в один из выше перечисленных векторов атак: возможность insert/update/delete при отсутствии на них гранта и возможность селекта данных, которые должны быть недоступны.

NetherNN 30 апр 2015 в 16:45

Не подскажите CVE этих багов?

xtender 30 апр 2015 в 17:08

Нет, мне CVE не сообщали(не уверен, что на первый из них он вообще есть, он был исправлен чуть ранее — в январе, а остаток в июле)

sebres 4 мая 2015 в 13:55

Статья — супер, но… Oracle, да и вообще любой другой БД-сервер, портами наружу (без ограничения по IP типа белый список и т.п.) это не то что-бы нонсенс, но не комильфо как минимум. Отсюда и ноги растут…

NetherNN 4 мая 2015 в 16:34

Внутренние пентесты практически всегда показывают, что какая-нибудь СУБД, да обнаружится.

Ну а внешка… Из веб-приложения порой можно «провалиться» до уровня БД. SQL-инъекция какая-нибудь, или еще чего хуже — формы, позволяющие SQL запросы напрямую слать. ERP этим частенько грешат.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий