- 資料庫測試教程
- 資料庫測試 - 首頁
- 資料庫測試 – 概述
- 資料庫測試 – 型別
- 資料庫測試 – 流程
- 資料庫測試 – 技術
- 資料庫測試 – 場景
- 資料庫測試 – 物件
- 資料庫測試 – 資料完整性
- 資料庫測試 – 資料對映
- 資料庫測試 – 效能
- 資料庫測試 – 工具
- 資料庫測試 – 備份
- 資料庫測試 – 恢復
- 資料庫測試 – 安全性
- 資料庫測試 – 挑戰
- 資料庫測試 - 面試題
- 資料庫測試實用資源
- 資料庫測試 - 快速指南
- 資料庫測試 - 有用資源
- 資料庫測試 - 討論
資料庫測試 – 安全性
資料庫安全測試旨在查詢安全機制中的漏洞,並找出資料庫系統的漏洞或弱點。
資料庫安全測試的主要目標是找出系統中的漏洞,並確定其資料和資源是否受到潛在入侵者的保護。定期進行安全測試可以有效地識別潛在的漏洞。
以下是執行資料庫安全測試的主要目標:
- 身份驗證
- 授權
- 機密性
- 可用性
- 完整性
- 彈性
資料庫系統中的威脅型別
SQL注入
這是資料庫系統中最常見的攻擊型別,攻擊者將惡意的SQL語句插入資料庫系統並執行,以獲取資料庫系統中的關鍵資訊。這種攻擊利用使用者應用程式實現中的漏洞。為了防止這種情況,應該仔細處理使用者輸入欄位。
資料庫中的許可權提升
在這種攻擊中,使用者已經對資料庫系統具有一定的訪問許可權,他只是試圖將此訪問許可權提升到更高的級別,以便他/她可以在資料庫系統中執行一些未經授權的操作。
拒絕服務
在這種型別的攻擊中,攻擊者使資料庫系統或應用程式資源無法為其合法使用者使用。應用程式也可能受到攻擊,從而導致應用程式,有時甚至是整臺機器無法使用。
未經授權的資料訪問
另一種攻擊型別是未經授權地訪問應用程式或資料庫系統中的資料。未經授權的訪問包括:
- 透過基於使用者的應用程式未經授權訪問資料
- 透過監控其他人的訪問來未經授權訪問
- 未經授權訪問可重複使用的客戶端身份驗證資訊
身份欺騙
在身份欺騙中,駭客使用使用者或裝置的憑據對網路主機發起攻擊,竊取資料或繞過資料庫系統的訪問控制。防止這種攻擊需要 IT 基礎設施和網路級別的緩解措施。
資料操縱
在資料操縱攻擊中,駭客更改資料以獲得某種優勢或損害資料庫所有者的形象。
資料庫安全測試技術
滲透測試
滲透測試是對計算機系統的一種攻擊,目的是查詢安全漏洞,可能獲取對系統、其功能和資料的訪問許可權。
風險查詢
風險查詢是一個評估和確定與損失型別和漏洞發生可能性相關的風險的過程。這由組織內部透過各種訪談、討論和分析來確定。
SQL注入測試
它涉及檢查應用程式欄位中的使用者輸入。例如,不允許在使用者應用程式的任何文字框中輸入“,”或“;”之類的特殊字元。當發生資料庫錯誤時,這意味著使用者輸入已插入某些查詢中,然後由應用程式執行。在這種情況下,應用程式容易受到 SQL 注入的攻擊。
這些攻擊對資料構成重大威脅,因為攻擊者可以訪問伺服器資料庫中的重要資訊。要檢查 SQL 注入進入 Web 應用程式的入口點,請從程式碼庫中找出透過接受某些使用者輸入直接在資料庫上執行 MySQL 查詢的程式碼。
可以針對括號、逗號和引號執行 SQL 注入測試。
密碼破解
在執行資料庫系統測試時,這是最重要的檢查。為了訪問關鍵資訊,駭客可以使用密碼破解工具或猜測常見的使用者名稱/密碼。這些常用密碼很容易在網際網路上找到,並且也存在免費的密碼破解工具。
因此,有必要在測試時檢查系統中是否維護了密碼策略。對於任何銀行和金融應用程式,都需要對所有關鍵資訊資料庫系統設定嚴格的密碼策略。
資料庫系統的安全審計
安全審計是一個定期評估公司安全策略的過程,以確定是否遵循必要的標準。可以根據業務需求遵循各種安全標準來定義安全策略,然後可以根據這些標準對已設定的策略進行評估。
最常見的安全標準示例包括 ISO 27001、BS15999 等。
資料庫安全測試工具
市場上有各種系統測試工具,可用於測試作業系統和應用程式檢查。下面討論一些最常見的工具。
Zed Attack Proxy
它是一個滲透測試工具,用於查詢 Web 應用程式中的漏洞。它旨在供具有各種安全經驗的人員使用,因此非常適合剛接觸滲透測試的開發人員和功能測試人員。它通常用於 Windows、Linux、Mac OS。
Paros
使用這些掃描程式可以攔截和修改伺服器和客戶端之間的所有 HTTP 和 HTTPS 資料,包括 Cookie 和表單欄位。它用於跨平臺、Java JRE/JDK 1.4.2 或更高版本。
社會工程工具包
它是一個開源工具,攻擊的是人為因素而不是系統元素。它使您可以傳送包含攻擊程式碼的電子郵件、Java 小程式等。它更適合 Linux、Apple Mac OS X 和 Microsoft Windows。
Skipfish
此工具用於掃描其站點以查詢漏洞。該工具生成的報告旨在作為專業 Web 應用程式安全評估的基礎。它更適合 Linux、FreeBSD、MacOS X 和 Windows。
Vega
它是一個開源的、多平臺的 Web 安全工具,用於查詢 Web 應用程式中 SQL 注入、跨站點指令碼 (XSS) 和其他漏洞的例項。它更適合 Java、Linux 和 Windows。
Wapiti
Wapiti 是一款開源的基於 Web 的工具,它掃描 Web 應用程式的網頁並檢查可以注入資料的指令碼和表單。它使用 Python 構建,可以檢測檔案處理錯誤、資料庫、XSS、LDAP 和 CRLF 注入、命令執行檢測。
Web Scarab
它是用 Java 編寫的,用於分析透過 HTTP/HTTPS 協議進行通訊的應用程式。此工具主要設計用於可以自己編寫程式碼的開發人員。此工具不依賴於作業系統。