Oracle电子商务套件 拒绝服务攻击和锁定APPS密码

上周的一天,我的一次叫醒电话是来自一个熟人。他公司的某人多次输入错误的APPS密码并锁定了APPS数据库帐户。这导致 Oracle电子商务套件 阻止所有用户访问该应用程序,并阻止并发处理停止。自生产以来,激动之情随之而来。在他给我打电话时,APPS密码已重置,并且 Oracle电子商务套件 已备份。问题是如何防止将来发生这种情况?

为了提供更安全的默认配置,Oracle开始将11g中的默认配置文件FAILED_LOGIN_ATTEMPTS设置为10(失败的登录)。默认情况下,此配置文件分配给所有数据库帐户,包括 Oracle电子商务套件 环境中的APPS帐户。 因此,大多数人很容易遭受非常简单的拒绝服务攻击。允许轻松锁定APPS密码的风险实际上在冒着有意或无意的拒绝服务攻击的风险。

作为Integrigy针对 Oracle电子商务套件 的标准安全评估检查的一部分,我们建议为关键服务帐户(例如APPS)创建自定义数据库密码配置文件。在此服务帐户的自定义配置文件中,应将FAILED_LOGIN_ATTEMPTS设置为高值,或将关键应用程序服务帐户设置为UNLIMITED。为了减轻对这些帐户进行暴力破解的风险,应监视失败的登录尝试,并设置PASSWORD_VERIFY_FUNCTION以要求密码复杂性和最小密码长度。

不应使用默认密码配置文件。 整合学 建议开发一组自定义配置文件,并将帐户划分为交互式服务帐户,其他服务帐户和命名用户。

电子商务套件可能还有其他几种拒绝服务攻击?这不包括在内,但其中一些是:

  • 如果未设置配置文件选项“上传文件大小限制”,则用户可能会上传一个非常大的文档或许多大的附加文档,足以消耗存储空间,以致数据库将无法使用。应该设置文件大小限制,并为您的业务流程设置适当小的文件大小限制。
  • 如果您面对互联网(例如运行iRecruitment),则可以使用另一个配置文件选项“ IRC:文档上传计数限制”,该选项可限制每个用户可以上传的文档总数。
  • 同样,如果您面对Internet,例如运行iRecruitment或允许自我注册和创建帐户的任何其他模块,则应考虑实施CAPTCHA –这些是您很难重新输入的难以理解的随机词,通过网站来证明您是人类。有恶意的人可能会创建大量假冒的E-Business Suite用户帐户(很可能是通过自动化),足以干扰Suite的正常运行。 有关如何实施CAPTCHA的信息,请参见下面有关Oracle支持说明的参考。
  • 与E-Business Suite没有直接关系,但是在OBIEE数据源连接中使用的那些帐户(在RPD中定义)当然应该与上面为APPS帐户建议的对待相同。锁定用于数据连接的帐户将使OBIEE无法为用户使用。

 如有疑问,请通过以下方式与我们联系 [email protected]

参考文献

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。