Информатика и вычислительная техника :: Информационная безопасность
Атаки на уровне систем управления базами данных
Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над эле-ментами СУБД заданы довольно четко. Есть четыре основных действия -- поиск, вставка, удаление и замена элемента. Другие операции являются вспомогатель-ными и применяются достаточно редко. Наличие строгой структуры и четко оп-ределенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестиро-ванная версия СУБД, содержащая ошибки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление хакером защиты, реализуемой на уровне СУБД.
Кроме того, имеются два специфических сценария атаки на СУБД, для защи-ты от которых требуется применять специальные методы. В первом случае ре-зультаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в банке, а округляемые число-вые поля относятся к счетам других клиентов банка). Во втором случае хакер по-лучает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея хакерской атаки на СУБД -- так хитро сфор-мулировать запрос, чтобы множество записей, для которого собирается статисти-ка, состояло только из одной записи.
|
|