Oracle漏洞利用

由于本周出版了几个新的Oracle漏洞,我认为这将是在剥削中提供一些背景的好时机。

每当讨论Oracle安全漏洞时,会对会话的主题是利用此类漏洞的复杂性。 大多数Oracle专业人员对缓冲区溢出,SQL注入,横向站点脚本(XSS),权限升级等的练习型理解只相信很难利用Oracle关键补丁更新中修复的许多安全错误。 大多数Oracle漏洞非常难以仅根据Oracle提供的信息利用。 大量研究,对Oracle产品的深刻了解,修补贴片和时间都需要开发新的漏洞。 虽然在开发少数漏洞之后,但该过程变得更加容易,经验丰富的专业人士可能能够在几个小时内开发完全努力的利用。

但是,所有人都不会为新手,新手攻击者丢失。 幸运的是,对于那些寻求从Security-Lax公司获得Ill-Gottunes的人,安全研究通常发布详细的漏洞利用代码,至少少数少数安全错误修复了每个季度。 任何Oracle开发人员都可以轻松地执行几乎所有这些已发布的漏洞。 甚至有限的SQL和Oracle知识,可能是账户员工员,谁做了一点作业可以利用一些这些漏洞。 (对于那些认为应付账款职员榜示例的人来说,应该阅读秘密服务的银行和金融部门"内幕威胁研究".)

已发布的exproit代码不在一些模糊的网站上,相反,它经常在许多信誉良好的网站和流行邮件列表上发布。 简单的谷歌搜索将在“Oracle Exploits”等短语上有许多命中。 最近的趋势是甚至将逃避技巧纳入漏洞利用代码,以防组织部署了数据库入侵防御系统。

两个有许多公布的漏洞的有组织的网站是 -

  • 红色数据库安全

  • MILW0RM

这两个站点都值得访问了解使用许多这些发布的漏洞利用以及正确保护数据库,应用程序服务器和应用程序的重要性是多么简单。

 Share this post