一、课题来源
本课题来自指导教师自拟。
二、课题研究的目的、意义
当今社会,计算机技术的发展日新月异。然而让人们大为头疼的是,高速发展的网络技术下难以掩盖的各种网络安全问题。
网络攻击者利用网络中的诸多漏洞,执行各种恶意攻击行为,给用户造成不小的损失。究其原因,除了攻击者的技术实力以外,也暴露了在飞速发展的网络大环境下,国内各大网站的从业人员安全意识薄弱以及网站的安全漏洞频出。网站所受到的安全威胁是多样的。其中,最致命的应该是针对后台数据库的攻击手段。这样的攻击手段可以使网站彻底瘫痪,如前台用户登录的数据无法与后台数据库中的信息进行核实,导致用户无法登录系统;再如,前台用户想要查询的信息被攻击者篡改,使用户从后台数据库中得到的是错误的查询信息。在这些针对后台数据库的攻击手段中,SQL注入技术无疑是大多数网络黑客们最常使用的技术之一。
入侵者己经通过Oracle中的某些提权漏洞,获得了数据库的最高权限,窃取并修改了部分数据都很难被发现。当前国内的网站中,有70%以上的网站都是使用Oralce或SqlServer数据库作为网站的后台数据库,特别是一些较大的B2B电子商务网站和涉及大量基础用户的电信供应商网站。Oracle数据库在这些领域的大量应用,以及近年来通过各种渠道公布的Oracle数据库的安全漏洞,都使得攻击者越来越倾向使用SQL注入这种相对简单的攻击手段。因此,针对Oracle数据库的SQL注入攻击方式的研究极具实用意义。
Oracle数据库作为一个大型数据库系统的典型代表,被最广泛的应用于各个大型网络系统中,也成为了攻击者攻击的重中之重。因为此研究针对Oracle数据库的攻防技术是保障网络信息安全的一项重要课题。本文对Oracle的解密技术和权限提升漏洞进行了挖掘和研究,层层递进,由解密技术对权限提升漏洞的挖掘研究提供技术基础,最后提出了对于漏洞挖掘的方法论及实现。
三、课题的国内外研究现状和发展动态
Oracle数据库因其良好的用户体验与极佳的易用性,使它在商业领域占据了绝大多数市场。Oracle数据库的安全理念诞生于上世纪90年代末期的美国国防部安全标准。由于数据安全技术发展的极为迅速,这一上世纪末的标准早已无法适应如今的技术环境。因此,在每年的B1ackHat大会上,几乎都会有针对Oralce数据库攻击技术的论文发表。
在Oracle数据库安全领域最著名的专家是David Litchfield。他著有《The OracleHacker's Handbook: Hacking and Defending Oracle》和《The Database Hacker's Handbook:Defending Database Servers))。这两本书是Oracle数据库安全领域中的重要参考书籍。David在这两本书中所提出的大量创新性观点,被该领域内相当多的论文与学术著作所引用。除此之外,他还提出了很多非常重要的观点,例如XML文件可被用于对Oracle数据库进行注入攻击;Oracle新发布的安全包,DBMS ASSERT包,也存在注入缺陷,攻击者可以绕过这一安全包进行注入攻击等。除David Litchfield外,Martinez FayoE,Halfond W G.Orso, Kornbrust A等国外专家也在Oracle数据库的安全性研究上做出了很多贡献。
除此之外,又出现了几种新型攻击手段,例如本文即将论述的使用PL/SQL语言中的游标来实施针对Oracle数据库的权限提升攻击等.
近年来国内对Oracle数据库安全领域的研究也逐渐重视起来。不少信息安全领域的专家学者提出了很多值得借鉴的经验。然而与国外先进水平相比,国内在这一领域的研究还略显滞后。
四、课题的研究内容、拟采取的技术方案或研究方法
本课题的研究内容:本文的主要研究对象是针对Oracle数据库的SQL注入方式、标类注入提权技术及防御手段,Oracle提权漏洞的注入攻击,深入研究针对常用的Oracle提权攻击技术及其相应的防御方法。
(1)针对Oracle的SQL注入方式。既手动注入SYS.DBMS_CDC_SUBSCRIBE.ACTIVATE_SUBSCRIPTION 提升权限和利用Metasploit实施注入
(2)Oracle口令破解
(3)游标类注入提权技术及其防御手段
(4)Web下的SQL注入及提权
(5)利用SQL*Plus获取WebShell
五、课题研究的重点、难点及创新点
重点:Oracle数据库中常用权限提升技术和游标类注入提权技术。
难点:分析并研究两种通过游标进行权限提升攻击技术,包括游标Snarf提权技术及游标注入提权技术。归纳出使用于此类技术的两种攻击途径。
六、课题研究的进度安排
1-2
3-4
5-6
7-8
9
10-13oracle
13-14
15
16
七、课题研究目标或预期成果
实现针对后台数据库为Oracle的页面的SQL注入扫描、获取数据库系统信息、用户信息及权限、表及列的内容等功能。
八、主要参考文献
[1]程鲁明, 肖菊香. Oracle数据库容灾技术研究与实现[J]. 电子元器件与信息技术, 2020, v.4;No.31(01):84-86.
[2]潘红岩. 基于Oracle数据库系统的备份和恢复技术[J]. 电子技术与软件工程, 2019, No.148(02):173-173.
[3]熊学锋、彭小庆、曹鑫. 基于改进ORM的Oracle数据库异构资源整合方法研究[J]. 电子设计工程, 2020, v.28;No.443(21):44-47+52.
[4]彭小庆、荣功立、罗兰溪. 基于组件技术的Oracle数据库持续迁移方法研究[J]. 电子设计工程, 2020, v.28;No.444(22):157-161.
[5]程鲁明, 肖菊香. oracle数据库批量数据无损迁移技术研究[J]. 电子设计工程, 2020(18).
[6]陈圣强. Oracle数据库备份及恢复技术措施之研究[J]. 科学技术创新, 2019, 000(005):90-91.
[7]蔡小艳, 崔艳萍, 孟宪宇,等. 基于工作过程研究项目化教学在Oracle数据库教学中的应用[J]. 新课程研究, 2020, 000(006):P.94-96.
[8]胡俊, 许良杰, 谢科军. 数据库异构灾备技术应用与研究[J]. 中文信息, 2019(5).
[9]胡俊, 许良杰, 谢科军. 数据库异构灾备技术应用与研究[J]. 中文信息, 2019, 000(005):8.
[10]梁晨. 基于ArcEngine及Oracle技术的地下空间数据管理功能研究与开发[D]. 2019.
[11]高建尽, 张乾隆, 武同元. 基于Oracle的分布式潮汐观测数据库系统的分析与设计[J]. 气象水文海洋仪器, 2020, 037(001):40-44.
[12]朱伟华. 移动互联网时代医院数据存储平台关键技术研究与应用[J]. 电子技术与软件工程, 2020, No.171(01):177-178.
[13]黄建军, 龚玮玮, 肖英剑. 基于Oracle数据库查询优化策略的研究[J]. 电脑知识与技术, 2019, v.15(13):16-17.
[14]朱勇. 基于Oracle数据库的索引优化查询分析[J]. 数码世界, 2019(6):142-143.
[15]吴尚, 张靖, 徐道磊. Oracle数据库性能的优化设计思路研究[J]. 数字技术与应用, 2019, v.37;No.354(12):177+179.
[16] .网络攻防实战研究(漏洞利用于提权)
