Die 10 wichtigsten zu vermeidenden Probleme mit der Datenbanksicherheit

Top 10 Datenbanksicherheitsprobleme

1. Fehler beim Scrubben von Abfragen. In der Regel ein Problem mit SQL-basierten Datenbanken. Das einfachste, aber häufigste Sicherheitsproblem ist ein einfacher Fehler beim Bereinigen von SQL-Abfragen, bevor sie weitergeleitet werden die Datenbank. Dieses einzelne Versehen ist verantwortlich für einen sogenannten SQL-Injection-Angriff, bei dem selbst unerfahrene Hacker einfach eine fehlerhafte Abfrage einreichen können, die das System zerstören kann. Einfach Hinzufügen einer Logikschicht zwischen eingehenden Verbindungen und der Datenbank, die eingehende Abfragen durchsucht und ungültige Anforderungen wie "; DROP TABLE kritisch_Tabellenname;" oder ähnlich.
2. Inferenz. Dies ist ein heikles Sicherheitsproblem, das häufig übersehen wird. Was es bedeutet, ist die Fähigkeit, sichere Informationen durch Abfragen unsicherer oder unkritischer Informationen zu ermitteln. Zum Beispielsweise kann eine Datenbank, die die Anzahl der Konten mit einer bestimmten Berechtigungsstufe verdecken möchte, jedem Konto naiv eine eindeutige, aufeinanderfolgende ID zuweisen. Durch Abfragen für jedes Konto, auf das zugegriffen werden kann, Die Anzahl der nicht vorhandenen Konten und sogar ihre eindeutigen IDs können durch Überspringen der ID-Nummern abgeleitet werden.
3. PEBKAC. Dies ist möglicherweise besser für Rang eins geeignet, da es die größte Bedrohung für die Datenbanksicherheit darstellt . Ein vollständig gültiger Benutzer Mit kritischen Berechtigungen und einem schlechten Verständnis der Kennwortsicherheit kann die gesamte Datenbank gefährdet werden. Dies ist eine der am schwersten zu erkennenden und zu regulierenden Sicherheitslücken, selbst die versiertesten Einzelpersonen werden Fehler machen und alles, was erforderlich ist, ist ein solches Versehen, damit die Datenbank kompromittiert wird.
4. Unnötige Berechtigungen. Ähnlich wie bei PEBKAC ist die einfache Übergabe von Benutzerberechtigungen, die sie nicht benötigen, ein großes Sicherheitsrisiko, das kritische Daten gefährdet. Benutzerberechtigungen müssen streng reguliert werden um die Datenbanksicherheit zu gewährleisten.
5. Unnötig aktivierte Funktionen. Die meisten Datenbanken sind auf Flexibilität ausgelegt. Diese Flexibilität kann jedoch als Sicherheitslücke dienen, wenn Funktionen für verschiedene Anwendungen vorgesehen sind bleiben an Orten aktiviert, an denen sie nicht benötigt werden. Durch einfaches Deaktivieren aller bis auf die erforderlichen Funktionen kann eine Datenbank ihre Sicherheit erheblich verbessern.
6. Trennt den Webserver nicht vom Datenbankserver. Wenn Ihr Webserver jemals kompromittiert wird, sind Sie froh, dass der Datenbankserver nicht zusammen mit der Site gebündelt ist. Durch Trennen der / die Web- und Datenbankserver; Sie können Angriffe weiter einschränken, zusätzliche Sicherheitsvorkehrungen treffen und potenzielle Datenexpositionen / -verletzungen isolieren. Es können jederzeit neue Angriffe auftreten, die die Zwei Funktionen isolieren Ihre Informationen besser und ermöglichen es Ihnen, zusätzliche Sicherheitsmaßnahmen anzuwenden, die für Ihre Anwendung im Vergleich zur Datenbank spezifisch sind.
7. Unverschlüsselte Daten. Wenn die Daten vertraulich sind, sollten sie verschlüsselt, gehasht und gesalzen werden, damit die abgerufenen Daten nicht direkt abgerufen werden können, wenn eine andere Sicherheitsanfälligkeit zu einem Eingriff führt in Gebrauch nehmen.
8. Pufferüberläufe. Bei dieser anderen Form der ungültigen Eingabe wird der Datenbank mehr Daten gesendet, als sie so verarbeiten kann, dass das Extra in andere Teile übergeht des Programms, wodurch ein unzulässiger Zugangspunkt für eine beliebige Anzahl von Funktionen erstellt wird.
9. Eskalation von Berechtigungen. Für diese Form des Angriffs muss der Angreifer das Datenbank-Back-End genau kennen. Verschiedene Exploits bestimmter Datenbankimplementierungen können es einem Benutzer ermöglichen um ihre Berechtigungen zu erweitern und Zugriff auf Funktionen zu erhalten, die vertrauenswürdigen Clients oder Administratoren vorbehalten sind. Die Aktualisierung der Datenbanksoftware ist der einzige wirksame Schutz gegen diese Angriffe.
10. Überbewusstsein. Datenbanksicherheit ist ein paranoides Geschäft. Keine Sicherheitsmaßnahme ist wasserdicht und alles sollte von den Administratoren der Datenbank geprüft und verdächtig gehalten werden. EIN Eine Datenbank jeder Größe oder Bedeutung kann und wird angegriffen werden. Nur wenn bei jedem Schritt Vorsicht geboten ist und niemals Annahmen über die vorhandenen Sicherheitsmaßnahmen getroffen werden, kann eine Datenbank hoffen, dass sie bestehen bleibt sichern.