欺骗Oracle会话信息

Oracle数据库会话信息包括数据库用户名,操作系统用户名,主机,终端,IP地址,模块,程序,时间戳,会话ID和其他详细信息。这些值对于审计和识别实际最终用户至关重要。许多数据库会话值可以由攻击者“欺骗”掩盖其真实身份或规避安全性和审计措施。 它应该对任何人都没有震惊,因为这一事实已被广泛讨论多年来,这些价值很多都可以欺骗。

尽管有经验丰富的数据库管理员了解欺骗这些会话值的能力,但积分安全顾问始终如一地查找依赖于“数据库登录触发器”中的“可欺骗”会话信息以及数据库审核的程序和应用程序。由于近年来由于立法要求,我们强调审计,我们实际上比三年前更频繁地看到这个问题。这是一个审计实施问题,特别是在大型复杂的ERP或CRM实现中,审计已经配置为满足Sarbanes-Oxley(SOX),HIPAA,支付卡行业数据安全标准(PCI DSS)或其他立法和监管要求。由于应用程序和大的交易量大的复杂性,通常必须通过生成的额外审计数据来实现一定程度的过滤。在许多情况下,应用审核由于SOX要求启用了审核时,应用过滤以区分正常事务处理和异常事务(即,超级用户或DBA)。

为了解决这个问题,我们发布了一个新的白皮书,这是对关键数据库会话元素的全面检查,并且欺骗这些值的能力 - 既没有在本文中讨论的新信息也没有新的安全漏洞。先前已经在oracle相关的安全邮件列表和其他论坛中讨论了大部分信息。本文的目标是建立对此问题的认识,因为执行安全评估的积分顾问一直遵循审计和安全解决方案中的“可欺骗”值的绝对依赖。

本文查看了四个常见商店和使用与安全性和审核有关的数据库会话信息:(1)V $会话视图,(2)SYS_CONTEXT函数,(3)数据库会话审核,(4)细粒度审计(FGA) 。 v $会话视图包含每次当前数据库会话一行。 sys_context函数返回有关当前数据库会话的信息,通常与数据库登录触发器一起使用。数据库会话审核(审核会话;)记录所有数据库登录和注销。细粒度审计用于审核针对特定数据库对象执行的SQL语句,并且可以根据列或其他标准配置。

白皮书: 欺骗Oracle会话信息

 Share this post