تبیان، دستیار زندگی
تقویم
اوقات شرعی تهران- سه شنبه 4 آذر 1399
غروب آفتاب : طلوع آفتاب :

وضعیت آب و هوا
استفاده از موقعیت مکانی
° سانتی گراد
امروز هفت روز آینده
صفحه اصلی > دانش و زندگی > ICT و کامپیوتر > شبكه و امنیت
مشاوره
چاپ
ارسال نظر
ارسال به تلگرام ارسال به توییتر ارسال به واتس اپ
امروزه پایگاه داده بعنوان منبع ذخیره اطلاعات حساس و مهم و به تعبیری گنجینه اسرار هر سازمان و نهاد بازرگانی می باشد. حفظ و نگهداری آن نیز یکی از موارد مهم و حیاتی برای هر جائی است.
عکس نویسنده
عکس نویسنده
نویسنده : سارا سیفی خواه
بازدید :
زمان تقریبی مطالعه :
تاریخ : يکشنبه 1392/04/16

آسیب پذیری های پایگاه داده

(قسمت سوم)

امروزه پایگاه داده بعنوان منبع ذخیره اطلاعات حساس و مهم و به تعبیری گنجینه اسرار هر سازمان و نهاد بازرگانی می باشد. حفظ و نگهداری آن نیز یکی از موارد مهم و حیاتی برای هر جائی است.

در این مطلب در ادامه ی قسمت قبل ، به بررسی مهم ترین موارد آسیب پذیری در پایگاه های داده می پردازیم:

آسیب پذیری‌های پایگاه داده

6- سر ریز بافر

یکی دیگر از روش های مورد علاقه هکرها، آسیب پذیری از طریق سرریز بافر یا به اصطلاح Buffer Over Flow می باشد. این روش به این طریق مورد بهره برداری فرد نفوذ کننده قرار می گیرد که با فرستادن منابع ورودی به میزان متراکم و زیاد  مثلا: با تعداد کاراکترهایی که بیشتر از حد قابل قبول برای یک برنامه کاربردی می باشد به طور مثال، یا اضافه کردن 100 کاراکتر به یک جعبه ورودی، درخواست یک SSN می کند.

توسعه دهندگان نرم افزارهای بانک اطلاعات روی راه حلهایی که مانع از بروز اینگونه حملات می شوند سخت کار کرده اند. این دلیل دیگری است برای اینکه چرا معتقدیم به روز رسانی و انتشار مرتب وصله های امنیتی بسیار حیاتی است.البته باید متذکر شد برنامه نویس نیز می بایست این ضعف هارا شناخته و دید خوبی نسبت به آن داشته باشد که در برنامه خود سعی در برطرف کردن این نقاط حداقل در لایه برنامه کاربردی خود بکند.به این ترتیب در برنامه کاربردی یک لایه امنیتی اضافه شده و این خود تا حدودی می تواند استفاده از این روش برای هکر را دشوار تر و سخت تر نماید

7- افزایش امتیازات و آسیب پذیری های مشابه

به طور مشابه، پایگاه های داده اغلب از آسیب پذیری هایی مشترک رنج می برند که به فرد نفوذی اجازه افزایش امتیازات حساب خود که در ابتدا با سطح امتیاز پایین و دسترسی کم بوده را می دهد و در نهایت این فرد قادر به در اختیار گرفتن امکانات مدیریتی یا administrator برای حساب خود می باشد. به عنوان مثال کارشناسان امنیتی بدین شکل توضیح می دهند که یک مهاجم ممکن است از تابعی که در قسمت sysdba اجرا می شود برای مقاصد خود سوء استفاده کند. از انجا که اکثر این آسیب پذیری کشف نشده اند، مدیران نیاز به مقابله با آنها از طریق به روز رسانی های به موقع و انتشار پچ ها خواهند داشت.

سازمان ها هیچ گاه نباید اطلاعات حساس را در اسناد متنی واضح در داخل جدول پایگاه داده خود ذخیره کنند. و در تمام اتصالات به پایگاه داده باید همیشه از رمزنگاری استفاده کنند

8- حملات مبتنی بر انکار دسترسی به سرویس هائی مانندحملات  SQL Slammer

کارشناسان امنیت به ارائه تصویر بسیار روشنی از این مسئله که هکرها چگونه می توانند با استفاده از آسیب پذیری های DBMS  به نابود کردن سرورهای پایگاه داده از طریق یک سیل ترافیکی بپردازند پرداخته اند.

SQL Slammer نوعی کرم رایانه ای بود که سبب بروز خطای Denial of service در برخی از میزبان ها شده و در زمان سرایت آلودگی به طرز چشمگیری سرعت کلی اینترنت در جهان را کاهش داد. این کرم در تاریخ 25 ژانویه 2003 کار خود را آغاز کرد و در کمتر از 10 دقیقه 75000 رایانه را آلوده کرد). بسیار روشن است وقتی آلودگی Slammer  در سال 2003 به راه افتاد، یک پچ از قبل وجود داشت که آن آسیب پذیری و نحوه مقابله با آن را پوشش می داد. حال بعد از گذشت هفت سال، SQL Slammer  هنوز هم کماکان به کار خود ادامه می دهد و هنوز هم سرورهای پچ نشده را انتخاب می کند!

آسیب پذیری‌های پایگاه داده

این یک زنگ خطر برای مدیران پایگاه داده می باشد که اگه سیستم های خود را بروز رسانی نکنند و وصله های امنیتی را سر سری بگیرند چقدر آسیب پذیر خواهند بود بطوری که از ساده ترین روش ها و قدیمی ترین روش ها به راحتی دچار ضررهای زیادی خواهند شد.

9- پچ ها و وصله های امنیتی پایگاه داده

این مورد ممکن است تکراری باشد، اما ارزش تکرار کردن دارد. بنابراین بسیاری از مدیران پایگاه های داده اصولا اعتقادی به انتشار وصله های امنیتی جدید در موعد مقرر و به طور منظم ندارند چرا که آنها می ترسند پچ جدید سبب دگرگونی تنظیمات پایگاه داده ها گردند. اما این روز ها خطر ابتلا به هک شدن و نفوذ به سیستم مخصوصا از طریق شبکه داخلی بسیار بالاتر از خطر استفاده از پچ بلا استفاده می باشد، این جمله را یک کارشناس امنیت خبره بنام Rothacker  می گوید. ممکن است این مسئله را چند سال پیش کسی قبول نداشت، اما امروزه فروشندگان در مورد تست های امنیتی و استفاده از وصله های به روز خیلی جدی تر شده اند.

آسیب پذیری‌های پایگاه داده

10- داده های کد گزاری نشده در زمان ذخیره سازی یا انتقال

شاید این مسئله کاملا بدیهی به نظر برسد و احتیاجی به بیان کردنش نباشد، اما سازمان ها هیچ گاه نباید اطلاعات حساس را در اسناد متنی واضح در داخل جدول پایگاه داده خود ذخیره کنند و در تمام اتصالات به پایگاه داده باید همیشه از رمزنگاری استفاده کنند. مقوله رمزنگاری نیز خود بسیار مفصل می باشد که مدیران و کارشناسان امنیتی می بایست بر روی آنها تمرکز و دید کافی داشته باشند و تحقیق به منظور پیاده سازی آن حتمی و لازم می باشد.

11- استفاده از قابلیت های دسترسی ( High Availability)

یکی از ضعف هائی که معمولا در سازمان ها و نهاد های بزرگ وجود دارد عدم استفاده از قابلیت های پایگاه داده به منظور جلوگیری از قطع سرویس می باشد. اگرچه این قابلیت منوط به استفاده از امکانات خود سیستم عامل می باشد ولی اهمیت ندادن به آن می تواند سرویس دهی و عدم خارج شدن از سرویس دهی پایگاه داده را در زمان بروز خطر تضمین نماید. استفاده از قابلیت هایی مانند Cluster و یا Load Balanced و همین طور Replication می تواند بسیار مفید و ارزنده باشد.

سارا سیفی خواه

بخش دانش و زندگی تبیان

مطالب مــــــرتبط

-
UserName
کد تایید

پل های ارتباطی

بلوار کشاورز،خیابان نادری،نبش حجت دوست،پلاک 12

public@tebyan.com

02181200000

دسترسی سریع

ارتباط با ما تیم تبیان درباره ما نقشه سایت

محصولات و خدمات

فیلم تبیان صوت تبیان بازی تبیان موبایل تبیان

اشتراک در خبرنامه

مشترکم کن