黑客對 Oracle 攻擊的手段有哪些

黑客對Oracle攻擊的手段有以下這些：

• SQL注入攻擊：SQL注入攻擊是一種很簡單的攻擊，在頁面表單里輸入信息，悄悄地加入一些特殊代碼，誘使應用程序在數據庫里執行這些代碼，并返回一些程序員沒有料到的結果。

• 默認密碼：Oracle數據庫是一個龐大的系統，提供了能夠創建一切的模式，絕大部分的系統自帶用戶登錄都配備了預設的默認密碼，攻擊者會去網絡查找這些默認密碼進行嘗試登錄數據庫系統，獲取數據。

• 蠻力攻擊：蠻力攻擊，就像其名字所暗示的，就是不停的撬，直到“鎖”打開為止的方法。對于Oracle數據庫來說，就是用某種自動執行的進程，通過嘗試所有的字母數字組合來破解用戶名和密碼。

• 從后門偷竊數據：Oracle有一個名為UTL_TCP的程序包，能夠使外部連接指向其他服務器。對它稍微改編一下，就可以利用它從數據庫發送一套低帶寬數據流到遠程主機。Oracle也附帶了一些有用的程序包來隱藏數據流里的信息，如果你在發動潛入行動的時候擔心入侵檢測系統會監測到你的不法活動，那么可以充分利用這些功能秘密嵌入，包括DBMS_OBFUSCATION_TOOLKIT和DBMS_CRYPTO。

• 監聽攻擊：Oracle監聽器的設置是為了能夠實現遠程管理。那么如果攻擊者把監聽器的logfile設置為Unix.rhosts文件，這樣攻擊者就可以輕松的對.rhosts文件進行寫操作。Unix上的這個文件設置了什么人可以不用密碼而使用rsh、rlogin和rcp命令登錄。你可以想想將會發生什么事情。

• 權限提升：簡單的說，“權限提升”包括使用現有的低權限帳戶，利用巧取、偷竊或非法的方式獲取更高的權限，甚至是數據庫管理員的權限。

• 操作系統指令和安全：黑客并不總是通過shell命令行提示符登錄到你的系統的。不過，通過誘使Oracle數據庫運行操作系統水平的指令，我們的確給黑客提供了一條運行指令的有效途徑。這些指令能夠刪除和破壞文件、改寫日志(以便隱藏他們的行蹤)、創建帳戶，以及其他一些能通過命令行輸入指令達成的操作。

• 文件系統安全：Oracle操作系統用戶擁有所有Oracle軟件和數據庫數據文件的訪問權限，所以如果數據庫內部的某些用戶利用UTL_FILE包訪問filesystem上的文件時，他們就可以訪問之前由于權限和角色限制而無權訪問的很多數據庫內部文件。

Oracle防止黑客攻擊的措施有以下這些：

• 用戶管理機制：在Oracle系統中，根據工作性質和特點，用戶可以分為3類：數據庫管理員（DBA）、數據庫開發人員和普通用戶。不同類型的用戶分別賦予不同的權限，從而保證數據庫系統的安全。任何需要進入數據庫的操作都需要在數據庫中有一個合法的用戶名，每個用戶必須通過一個密碼連接到數據庫，以便被確認，只有經過系統核實的用戶才可以訪問數據庫。用戶配置文件主要用于控制用戶使用主機系統資源，可以通過該文件進行賬號管理。

• 審計機制：在Oracle系統中，利用審計跟蹤來監視用戶對數據庫施加的操作，通常用于調查非法活動以及監控、收集特定數據庫的活動信息。審計功能啟用一個專用的審計日志（audit log），系統自動將用戶對數據庫的所有操作記錄在上面，包括操作用戶、操作對象、操作時間、操作名稱等。

• 授權與檢查機制：Oracle 的權限分為系統級權限和對象（或實體）級權限。系統級權限完成某種特定操作的權限或者對某一特定類型實體執行特定操作的權限，如刪除配置文件、查詢任意表。實體級權限：對特定的表、視圖、序列生成器、過程等執行特定操作的權限。角色指可以授予用戶或其他角色的一組相關權限的集合，通過角色可以簡化權限管理，減少權限的授予工作；實現動態權限管理，即隨著任務的變化可通過改變角色的權限，達到對用戶權限的改變。

• 視圖機制：視圖機制是利用一個虛表，反映一個或多個基表的數據。視圖可以由基表中的某些行和列組成，也可以由幾個表中滿足一定條件的數據行組成。利用視圖可以對無權用戶屏蔽數據，用戶只能使用視圖定義中的數據，而不能使用視圖定義外的其他數據。例如，只讀視圖只能讀，不能改，可以有效保護基表中的數據。

• 觸發器機制：觸發器是一個與表相關聯的、被存儲的PL/SQL程序。每當一個特定的數據操作語句在指定的表上發生時，就會引發觸發器的執行。利用觸發器可以定義特殊的更復雜的用戶級安全措施，保護粒度可以細化到行和列。

• 數據備份與恢復機制：Oracle 數據庫的備份分為兩種：物理備份和邏輯備份。前者是實際物理數據庫文件從一處復制到另一處的備份，操作系統備份、使用恢復管理器的備份、冷備份和熱備份都是物理備份；后者是利用SQL從數據庫中提取數據，并將其存入二進制文件中，這些數據可以重新導入原來的數據庫，或者以后導入其他數據庫。

回答所涉及的環境：聯想天逸510S、Windows 10。