Oracle的銷售在向客戶兜售其數據庫系統一直把它吹捧為牢不可破的，耍嘴皮子容易，兌現起來可就不那么容易了。不管什么計算機系統，人們總能夠找到攻擊它的方法，Oracle也不例外。本文將和大家從黑客的角度討論黑客是用哪些方法把黑手伸向了你原以為他們不能觸及的數據，希望作為Oracle的數據庫管理員能夠清楚的闡明自己基礎架構的哪些區域比較容易受到攻擊。同時我們也會討論保護系統防范攻擊的方法。

1.SQL注入攻擊

如今大部分的Oracle數據庫都具有為某種類型網絡應用服務的后端數據存儲區，網頁應用使數據庫更容易成為我們的攻擊目標體現在三個方面。其一，這些應用界面非常復雜，具有多個組成成分，使數據庫管理員難以對它們進行徹底檢查。其二，阻止程序員侵入的屏障很低，即便不是C語言的編程專家，也能夠對一些頁面進行攻擊。下面我們會簡單地解釋為什么這對我們這么重要。第三個原因是優先級的問題。網頁應用一直處于發展的模式，所以他們在不斷變化，推陳出新。這樣安全問題就不是一個必須優先考慮的問題。

SQL注入攻擊是一種很簡單的攻擊，在頁面表單里輸入信息，悄悄地加入一些特殊代碼，誘使應用程序在數據庫里執行這些代碼，并返回一些程序員沒有料到的結果。例如，有一份用戶登錄表格，要求輸入用戶名和密碼才能登錄，在用戶名這一欄，輸入以下代碼：

cyw'); select username, password from all_users;--

如果數據庫程序員沒有聰明到能夠檢查出類似的信息并“清洗”掉我們的輸入，該代碼將在遠程數據庫系統執行，然后這些關于所有用戶名和密碼的敏感數據就會返回到我們的瀏覽器。

你可能會認為這是在危言聳聽，不過還有更絕的。David Litchfield在他的著作《Oracle黑客手冊》(Oracle Hacker's Handbook)中把某種特殊的pl/sql注入攻擊美其名曰：圣杯(holy grail)，因為它曾通殺Oracle 8到Oracle10g的所有Oracle數據庫版本。很想知道其作用原理吧。你可以利用一個被稱為DBMS_EXPORT_EXTENSION的程序包，使用注入攻擊獲取執行一個異常處理程序的代碼，該程序會賦予用戶或所有相關用戶數據庫管理員的特權。

這就是Oracle發布的著名安全升級補丁Security Alert 68所針對的漏洞。不過據Litchfield稱，這些漏洞是永遠無法完全修補完畢的。

防范此類攻擊的方法

總而言之，雖說沒有萬能的防彈衣，但鑒于這個問題涉及到所有面向網絡的應用軟件，還是要盡力防范。目前市面上有各式各樣可加以利用的SQL注入檢測技術。可以參照http://www.securityfocus.com/infocus/1704 系列文章的詳細介紹。

還可以用不同的入侵檢測工具在不同的水平上檢測SQL注入攻擊。訪問專門從事Oracle安全性研究的Pete Finnigan的安全網站http://www.petefinnigan.com/orasec.htm，在該網頁搜索“sql injection”，可以獲得更多相關信息。Pete Finnigan曾在其博客上報告稱Steven Feurstein目前正在編寫一個稱為SQL Guard 的pl/sql程序包，專門用來防止SQL注入攻擊，詳情請查看以下網頁http://www.petefinnigan.com/weblog/archives/00001115.htm。

對于軟件開發人員來說，很多軟件包都能夠幫助你“清洗”輸入信息。如果你調用對從頁面表單接受的每個值都調用清洗例行程序進行處理，這樣可以更加嚴密的保護你的系統。不過，最好使用SQL注入工具對軟件進行測試和驗證，以確保萬無一失。

1. 默認密碼

Oracle數據庫是一個龐大的系統，提供了能夠創建一切的模式。絕大部分的系統自帶用戶登錄都配備了預設的默認密碼。想知道數據庫管理員工作是不是夠勤奮?這里有一個方法可以找到答案?？纯聪旅孢@些最常用的預設用戶名和密碼是不是能夠登錄到數據庫吧：

Username Password
applsys apps
ctxsys change_on_install
dbsnmp 　dbsnmp
outln 　outln
owa 　owa
perfstat 　perfstat
scott 　tiger
system 　change_on_install
system 　manager
sys 　change_on_install
sys 　manager

就算數據庫管理員已經很勤奮的把這些默認配對都改了，有時候想猜出登錄密碼也不是一件困難的事情，逐個試試“oracle”、“oracle4”、“oracle8i”、“oracle11g”，看看碰巧是不是有一個能登錄上去的。

Pete Finnigan提供了一份關于缺省用戶和對應密碼的名單，該名單非常全面而且是最新的，并包括已經加密的密碼。如果你用all_users來進行查詢，可以嘗試并比較一下這份名單，詳細名單請參閱：http://www.petefinnigan.com/default/default_password_list.htm。

防范此類攻擊的方法

作為數據庫管理員，應該定期審核所有的數據庫密碼，如果某些商業方面的阻力使你不能輕易更改容易被人猜出的密碼，你可以盡量心平氣和地和相關人員解釋，用一些直觀的例子來闡明如果不修改密碼的話會有什么不好的事情發生，會有什么樣的風險存在。

Oracle也提供了密碼安全profile，你可以激活該profile，在某種水平上加強數據庫密碼的復雜性，還可以執行定期密碼失效。要注意要把這個功能設置為只對通過網絡服務器或中間層應用服務器登錄的事件起作用。

2. 蠻力攻擊(Brute Force)

蠻力攻擊，就像其名字所暗示的，就是不停的撬，直到“鎖”打開為止的方法。對于Oracle數據庫來說，就是用某種自動執行的進程，通過嘗試所有的字母數字組合來破解用戶名和密碼。

Unix的管理員就可以利用一款名為John the Ripper的密碼破解軟件來執行這類的攻擊?，F在如果你下載某個補丁，你也可以利用這款軟件來對Oracle進行蠻力攻擊，敲開其密碼。不過根據密碼的復雜程度不同，這可能是個很費時的過程，如果你想加快這個進程，可以事先準備一張包含所有密碼加密的表，這樣的表叫做Rainbow table，你可以為每個用戶名準備一張不同的rainbow table，因為這種密碼加密算法把用戶名作為助燃劑。在這里就不再深入介紹更多的細節問題了，大家可以查閱http://www.antsight.com/zsl/rainbowcrack/獲得更多信息。

Oracle服務器的默認設置是，對某個特定帳戶輸錯密碼達十次就會自動鎖定該帳戶。不過通常“sys as sysdba”權限沒有這個限制，這可能是因為如果你鎖定了管理員，那所有人都將被鎖定。這樣的設置為我們黑客破解軟件(OraBrute)如開辟了一條生路，它們會晝夜不停地敲打你數據庫的前門，直到它乖乖打開為止。

防范此類攻擊的方法

想要抵御此類攻擊，可以使用之前提及的對付預設密碼攻擊的方法。不過好奇心過重的數據庫管理員也可能下載上面提到的工具侵入自己的系統。這說明了你真正的風險來自何方。