保證數據庫安全的幾個要點

2021-07-26 14:22 作者：admin 瀏覽量：

數據庫及其包含的信息仍是黑客試圖攻擊的目標。黑客希望利用在數據庫驅動的應用程序中的許多廣泛傳播的安全漏洞。這些漏洞許多是由不良設置或者實施造成的。下面是最常見的五個與數據庫相關的安全漏洞:

·不良的口令政策

·SQL注入

·交叉站點腳本

·數據泄漏

·不適當的錯誤處理

令人難以置信的是，企業仍常常使用默認的或者軟弱的口令來保護像數據庫一樣重要的在線資產。但是，這是一個很輕易解決的問題。補救措施是強制執行強盛的口令政策。也就是說，口令要定期變換，口令長度最少為10位數并且包含字母和符號。采用這種政策，你將關閉攻擊者同向你的數據的方便之門。

SQL注入也依賴軟弱的數據庫實施，特殊是在如何向數據庫發送SQL哀求方面的實施。假如這個數據庫接受了用戶提供的不干凈的或者沒有經過驗證的數據產生的SQL請求，這就會為SQL注入攻擊敞開大門。例如，通過修改從基于網絡的格式受到的信息，攻擊者能夠提供惡意的SQL請求并且把指令直接發送到數據庫。

要防止這種類型的攻擊，在讓這些數據接近你的腳本、數據訪問程序和SQL查詢之前，保證所有用戶提供的數據是合法的是非常重要的。驗證和清潔從用戶那里收到的數據的另一個理由是防止交叉站點腳本攻擊。這種攻擊能夠用來攻破連接到一個Web服務器的數據庫。黑客通過一個網絡蠕蟲把javascript等客戶方面的腳本注入到一個網絡應用程序的輸出中。這些腳本用于收集cookie數據。這些數據經常被錯誤地用來存儲用戶賬戶登錄信息等資料。

一個經常被忽略的問題是什么時候建立一個數據庫應用程序是泄漏數據。這是敏感的數據要發送的地方或者是非故意踢敏感數據的地方。這個錯誤將導致不能保證訪問數據庫備份磁帶的安全和控制這種訪問。通常，更敏感的數據產生于有關數據的合法查詢的答案，就像從醫療處方判定疾病一樣。常用的解決方案是監視查詢方式以檢測這種行動。

與數據泄漏密切相關的是在數據庫出現錯誤時不適當地處理這些錯誤。許多應用程序顯示了具體的信息。這些錯誤信息能夠泄漏有關數據庫結構的信息。這些信息能夠用來實施攻擊。要盡一切手段把這個錯誤登記在你自己的記錄中，保證你的應用程序不向用戶或者攻擊者返回任何有關這個錯誤的詳細信息。
 

中國首款IT服務微信小程序“企如意”，一款真心實意為企業謀福利的知音。IT產品一切應有盡有，讓您的企業輕松提升工作效率！自小程序上線以來，用戶注冊量已超過50000人，IT服務產品下單量已達到6500單。因為專注，所以專業，工單服務好評率也高達98%以上。小程序，大作為，真正成為您企業績效倍增的加速器！幫助企業的同時還有更多好禮相送。

更多活動請關注“企如意”小程序！