Oracle漏洞利用

自从本周发布了几个新的Oracle漏洞利用程序以来,我认为现在是提供一些有关漏洞利用程序的好时机。

每当讨论Oracle安全漏洞时,谈话的主题是利用这些漏洞的复杂性。 大多数Oracle专业人士对缓冲区溢出,SQL注入,跨站点脚本(XSS),特权升级等仅具有粗略的了解,因此认为很难利用Oracle关键补丁更新中修复的许多安全漏洞。 仅基于Oracle提供的信息,大多数Oracle漏洞很难利用。 开发新的漏洞利用程序需要大量研究,对Oracle产品的深入了解,补丁程序的分解以及时间的投入。 尽管在开发了一些漏洞利用程序之后,该过程变得更加容易,并且经验丰富的专业人员也许能够在几个小时内开发出功能全面的漏洞利用程序。

但是,对于新手,新手攻击者来说,一切并没有失去。 幸运的是,对于那些希望从安全松懈的公司中获取不义之财的人来说,安全研究会定期发布详细的利用代码,以至少每个季度修复一些安全漏洞。 任何Oracle开发人员都可以轻松执行几乎所有这些已发布的攻击。 即使对SQL和Oracle的了解有限,做些功课的应付账款业务员也可能会利用其中的一些漏洞。 (对于那些认为应付帐款文员示例牵强的人,应该阅读特勤局的银行和金融部门"内部威胁研究".)

已发布的漏洞利用代码不是在一些晦涩的网站上,而是经常在许多知名的网站和流行的邮件列表上发布。 简单的Google搜索将对诸如“ oracle exploits”之类的短语产生巨大的影响。 最近的趋势是,甚至在组织已部署数据库入侵防御系统的情况下,也将逃避技术纳入漏洞利用代码。

两个组织良好的网站,其中包含许多已发布的漏洞利用信息-

  • 红色数据库安全

  • milw0rm

这两个站点都值得一看,以了解使用许多已发布的漏洞利用程序有多么简单,以及正确保护数据库,应用程序服务器和应用程序有多重要。

 Share this post