2016年3月8日，某電商平臺(tái)的ERP 系統(tǒng)遭到黑客攻擊，事件中使用的SQL注入攻擊是數(shù)據(jù)庫(kù)安全攻擊中幾乎最常見(jiàn)的SQL注入�；�于918搏天堂數(shù)據(jù)庫(kù)安全攻防實(shí)驗(yàn)室的技術(shù)分析和模擬攻擊過(guò)程還原，SQL注入點(diǎn)可能來(lái)自O(shè)racle數(shù)據(jù)庫(kù)自身的三個(gè)安全機(jī)制缺陷。

缺陷1： oracle數(shù)據(jù)庫(kù)自身的存儲(chǔ)過(guò)程和函數(shù)調(diào)用的權(quán)限機(jī)制存在安全隱患

用戶(hù)調(diào)用pl/sql子程序的時(shí)候，程序在訪(fǎng)問(wèn)所涉及到的底層對(duì)象（包括表格等）時(shí)，用戶(hù)不必?fù)碛性L(fǎng)問(wèn)這些對(duì)象的權(quán)限，只需要用戶(hù)有該存儲(chǔ)過(guò)程的執(zhí)行權(quán)限即可；而執(zhí)行時(shí)是參照的是該子程序定義者的權(quán)限。

簡(jiǎn)單說(shuō)就是如果用創(chuàng)建者只有創(chuàng)建權(quán)限，沒(méi)有執(zhí)行權(quán)限那么即便用sys賬號(hào)也依舊無(wú)法執(zhí)行。因?yàn)閳?zhí)行定義者權(quán)限模式的子程序的時(shí)候。在子程序中當(dāng)前賬號(hào)權(quán)限和創(chuàng)建該子程序用戶(hù)權(quán)限一致。雖然這給oracle帶來(lái)了很大的靈活性，但是會(huì)有很大的安全隱患。就像上文的例子一樣。黑客可以利用子程序獲得和子程序創(chuàng)建者一樣高的權(quán)限，再以高權(quán)限執(zhí)行惡意代碼。黑客可以通過(guò)這種手段獲得DBA賬號(hào)、甚至控制整個(gè)oracle。

缺陷2：oracle中有些系統(tǒng)函數(shù)的參數(shù)對(duì)輸入類(lèi)型和長(zhǎng)度缺乏控制，導(dǎo)致形成注入點(diǎn)。對(duì)于這種oracle缺乏控制的的函數(shù)的參數(shù)需要進(jìn)一步約束。約束的方法可以等待oracle進(jìn)行補(bǔ)丁修復(fù)后進(jìn)行補(bǔ)丁升級(jí)，也可以通過(guò)數(shù)據(jù)庫(kù)防火墻對(duì)特定函數(shù)使用的范圍做一定的限制。

缺陷3：Oracle自身存在系統(tǒng)存儲(chǔ)過(guò)程或函數(shù)自身存在提權(quán)漏洞

這些系統(tǒng)性的存儲(chǔ)過(guò)程或函數(shù)需要調(diào)用者的權(quán)限很低，但通過(guò)注入的方式，完成將調(diào)用者的權(quán)限提升到dba，如：

SYS.LT.COMPRESSWORKSPACETREE、SYS.DBMS_CDC_IMPDP.BUMP_SEQUENCE、SYS.KUPW$WORKER.MAIN、CTXSYS.DRILOAD.BUILD_DML等。

通過(guò)以上對(duì)Oracle數(shù)據(jù)庫(kù)安全機(jī)制缺陷的分析，希望能夠?qū)�Oracle用戶(hù)提供安全防護(hù)思路。對(duì)于功能強(qiáng)大的數(shù)據(jù)庫(kù)系統(tǒng)來(lái)說(shuō)，容易存在SQL注入點(diǎn)，通過(guò)在數(shù)據(jù)庫(kù)層部署專(zhuān)業(yè)的安全防護(hù)產(chǎn)品，能夠更直接有效的避免此類(lèi)安全事件的發(fā)生。