问:您能简单介绍一下与数据库相关的权限升级吗?如何确定我的公司是否有权限升级问题呢? 答:权限升级攻击在用户通过利用系统中的漏洞获得额外的访问系统权限时,就有可能发生。数据库可能与其他具有权限升级的软件一样有类似的问题:如果数据库功能或数据库的其它部分有漏洞,用户就可能利用该漏洞来获取具有更高权限的用户的帐号。 数据库中因权限升级所引起的一个最大威胁是未授权的用户能够访问存储在数据库中的敏感信息,但是这也有可能发生在文件系统中。可能我们需要更担心的是一些数据库允许具有升级权限的用户在数据库的授权下在操作系统中运行本地程序。
权限升级漏洞也可能使攻击者完全控制托管数据库的系统,通过操作系统……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:您能简单介绍一下与数据库相关的权限升级吗?如何确定我的公司是否有权限升级问题呢?
答:权限升级攻击在用户通过利用系统中的漏洞获得额外的访问系统权限时,就有可能发生。数据库可能与其他具有权限升级的软件一样有类似的问题:如果数据库功能或数据库的其它部分有漏洞,用户就可能利用该漏洞来获取具有更高权限的用户的帐号。
数据库中因权限升级所引起的一个最大威胁是未授权的用户能够访问存储在数据库中的敏感信息,但是这也有可能发生在文件系统中。可能我们需要更担心的是一些数据库允许具有升级权限的用户在数据库的授权下在操作系统中运行本地程序。权限升级漏洞也可能使攻击者完全控制托管数据库的系统,通过操作系统执行命令。
为了确定公司是否有权限升级问题,首先你需要确定数据库是否在最小权限下运行(这可能需要数据库管理员的帮助,他了解应用程序的权限机制),然后确定用户是否具有最小的访问权限来完成他们的工作;这个需要在数据库安全策略中解决。为了确定数据库所使用的操作系统权限,请查找进程表,查看数据库进程所使用的用户ID。如果数据库在根、管理员或其他授权账户下运行,就有可能出现权限升级问题。除了这个问题,具有权限来执行软件的用户,或允许用户在数据库中执行软件的漏洞,这些问题都有可能造成更大的威胁。
翻译
相关推荐
-
不安全的Firebase数据库使关键数据面临风险
当开发人员无法对支持其移动应用程序的数据库或云实例执行身份验证时,这里会发生一种最简单且最具破坏性的安全事件。 […]
-
如何处理仍未解决的MongoDB安全问题?
有关MongoDB尚未解决的安全隐患是什么?在补丁可用之前,企业可以采取哪些措施以缓解这些威胁?
-
MongoDB勒索攻击蔓延原因:不安全配置
攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。
-
中小企业的数据库安全:三大方面要牢记
随着日益复杂的攻击和不断上升的内部数据盗窃,数据库安全成为中小企业信息安全团队重点关注的焦点,超越了传统的认证、授权和访问控制。