注冊 | 登錄讀書好,好讀書,讀好書!
讀書網-DuShu.com
當前位置: 首頁出版圖書科學技術計算機/網絡數(shù)據(jù)庫OracleOracle數(shù)據(jù)庫攻防之道

Oracle數(shù)據(jù)庫攻防之道

Oracle數(shù)據(jù)庫攻防之道

定 價:¥29.80

作 者: (英)里奇費德 著,楊華 譯
出版社: 清華大學出版社
叢編項:
標 簽: 信息安全

購買這本書可以去

ISBN: 9787302164296 出版時間: 2007-11-01 包裝: 平裝
開本: 16開 頁數(shù): 205 字數(shù):  

內容簡介

  雖然Oracle不斷改進自己產品的安全特征,但它仍然還有一段很長的路要走。本書作者DAVID LITCHFIELD將自己多年積累的有關數(shù)據(jù)庫安全方面的豐富經驗與讀者分享,教會讀者如何評估和防護自己的Oracle數(shù)據(jù)。 與《數(shù)據(jù)庫黑客大曝光——數(shù)據(jù)庫服務器防護術》一書一樣,本書也深入探討了黑客在入侵和威脅ORACLE系統(tǒng)時可能用到的各種技術和工具,告訴讀者如何找到系統(tǒng)的弱點并保護它。一旦擁有了這些知識,數(shù)據(jù)庫的安全性就有了保證。 本書內容包括:詳述如何處理OracleRDBMS中的安全隱患;探討一些從未公開的Oracle安全漏洞的攻擊并學習如何使它們免受攻擊;解釋獨立安全評估并不一定難保證安全的原因;了解Oracle 10g Release 2已改進的安全特征以及遺留的安全隱患。

作者簡介

  DAVID LITCHFIELD是NGSSOFTWARE公司的創(chuàng)始人和首席科學家,該公司致力于為英國提供安全解決方案。LITCHFIELD被認為是世界上最權威的Oracle數(shù)據(jù)庫安全專家,他發(fā)出了ORACLE 9I DATABASE SERVER中的一個重要的安全漏洞,并有力地反駁了Oracle“無懈可擊”的市場宣傳,從而贏得了極高的場譽。LITCHFIELD還是NGSSQUIRREL(一種功能強大的數(shù)據(jù)庫服務器漏洞檢測及風險評估工具)的設計者。另外,他還是一位出色的演講者,經常在政府安全機構和國際會議上演講,也經常在BLACKHAT SECURIT BRIEFINGS等上發(fā)表有關數(shù)據(jù)庫安全方面的演說。

圖書目錄

第1章 Oracle RDBMS概述 1.1 體系結構 1.2 進程 1.3 文件系統(tǒng) 1.4 網絡 1.5 數(shù)據(jù)庫對象 1.6 用戶和角色 1.7 權限 1.8 Oracle補丁 1.9 小結第2章 Oracle網絡體系結構 2.1 TNS協(xié)議 2.2 獲得Oracle版本 2.3 小結第3章 攻擊TNS LISTENER和調度器 3.1 攻擊TNS LISTENER 3.2 Aurora GIOP Server 3.3 XML數(shù)據(jù)庫 3.4 小結第4章 攻擊身份驗證過程 4.1 身份驗證的工作原理 4.2 攻擊密碼術 4.3 默認用戶名和密碼 4.4 賬戶窮舉與蠻力攻擊 4.4.1 長用戶名緩沖區(qū)溢出 4.4.2 對Windows XP平臺上Oracle的注釋 4.5 小結第5章 Oracle與PL/SQL 5.1 PL/SQL的概念 5.2 PL/SQL的執(zhí)行權限 5.3 包裝PL/SOL 5.3.1 在10g版本上包裝和解包裝 5.3.2 在9i及更早版本上包裝和解包裝 5.3.3 脫離代碼的工作 5.4 PL/SOL注入 5.4.1 注入SELECT語句來獲得更多的數(shù)據(jù) 5.4.2 注入函數(shù) 5.4.3 注入匿名PL/SQL塊 5.4.4 PL/SQL注入的弊端 5.5 隱患研究 5.6 直接執(zhí)行SQL的隱患 5.7 PL/SQL的紊亂條件 5.8 審計PL/sQL代碼 5.9 DBMS ASSEI汀包 5.10 實例 5.10.1 利用DBMS_CDC_IMPDP的漏洞 5.10.2 利用LT 5.10.3 利用漏洞DBMS_CDC_SUBSCRIBE和DBMS CDC ISUBSCRIBE 5.10.4 PL/SQL與觸發(fā)器 5.11 小結第6章 觸發(fā)器 6.1 出于玩笑和利益的目的利用觸發(fā)器的漏洞 6.2 利用觸發(fā)器漏洞的實例 6.2.1 觸發(fā)器MDSYS.SDO_GEOM_TRIG_INS1和SDO_GEOM_TRIG_INS1 6.2.2 觸發(fā)器MDSYS SDO CMT CBK TRIG 6.2.3 觸發(fā)器sYS.CDC DROP CTABLE BEFORE 6.2.4 觸發(fā)器MDSY s_SDO DROP USER BEFORE 6.3 小結第7章 間接增加權限 7.1 逐步間接獲得數(shù)據(jù)庫管理員的權限 7.1.1 由CREATE ANY TRIGGER獲得數(shù)據(jù)庫管理員權限 7.1.2 由CREATE ANY VI.EW獲得數(shù)據(jù)庫管理員權限 7.1.3 由EXECUTE ANY PROCEDUR.E獲得數(shù)據(jù)庫管理員權限 7.1.4 由CREATE PROCEDUER獲得數(shù)據(jù)庫管理員權限 7.2 小結第8章 戰(zhàn)勝虛擬專有數(shù)據(jù)庫 8.1 設計使Oracle丟棄某種機制 8.2 利用原文件訪問戰(zhàn)勝VPD 8.3 通用權限 8.4 小結第9章 攻擊OracIe PL,SQL Web應用程序 9.1 Oracle PL/SQL網關體系結構 9.2 識別Oracle PL/SQL網關 9.2.1 PL/SSQ網關URL 9.2.2 Oracle Portal 9.3 驗證Oracle PL/SQL網關的存在 9.3.1 Web服務器、HTTP服務器響應的報頭 9.3.2 Oracle PL/SQL網關與數(shù)據(jù)庫服務器的通信方式 9.4 攻擊PL/SQL網關 9.5 小結第10章 運行操作系統(tǒng)命令 10.1 通過PL/SQL運行OS命令 10.2 用Java運行OS命令 10.3 使用DBMS_SCHEDULER運行OS命令 10.4 直接用任務調度程序運行OS命令 10.5 使用ALTER SYSTEM運行OS命令 10.6 小結第11章 訪問文件系統(tǒng) 11.1 用UTL FILE包訪問文件系統(tǒng) 11.2 用Java訪問文件系統(tǒng) 11.3 訪問二進制文件 11.4 利用操作系統(tǒng)環(huán)境變量 11.5 小結第12章 訪問網絡 12.1 數(shù)據(jù)泄露 12.1.1 使用UTL_TCP 12.1.2 使用UTL_HTTP 12.1.3 使用DNS查詢和UTL_INADDR 12.2 數(shù)據(jù)加密優(yōu)先于數(shù)據(jù)泄露 12.3 攻擊網絡上的其他系統(tǒng) 12.4 Java和其他網絡 12.5 數(shù)據(jù)庫鏈接 12.6 小結附錄 默認用戶名和密碼

本目錄推薦

掃描二維碼
Copyright ? 讀書網 www.dappsexplained.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網安備 42010302001612號