互聯(lián)網(wǎng)就像空氣，徹底的融入我們的生活之中。因此我們愈發(fā)習(xí)慣把越來(lái)越多的數(shù)據(jù)保存在網(wǎng)上以換取更便捷的服務(wù)。不過(guò)，隨之而來(lái)的安全事件無(wú)不讓人觸目驚心。

安華金和數(shù)據(jù)庫(kù)安全攻防實(shí)驗(yàn)室(DBSecLabs )回憶2015年整年發(fā)生的數(shù)據(jù)泄露事件，2015年一月機(jī)鋒論壇包括用戶名、郵箱、加密密碼的2300萬(wàn)用戶信息泄漏。隨后國(guó)內(nèi)10多家酒店大量客戶開(kāi)房信息泄漏、中國(guó)廣東人壽10W保單泄漏、大麥網(wǎng)600萬(wàn)用戶信息和網(wǎng)易郵箱過(guò)億用戶信息泄漏……一連串的信息泄漏事件無(wú)不令人提心吊膽。覆巢之下安有完卵，全球第二大比特幣交易網(wǎng)站Bitstamp遭到黑客入侵，新型銀行木馬Emotet盜取德國(guó)國(guó)民網(wǎng)銀證書，就連一直以安全著稱的瑞士銀行在互聯(lián)網(wǎng)的世界也難逃被黑客入侵的噩夢(mèng)。

數(shù)據(jù)庫(kù)漏洞研究起源

大數(shù)據(jù)時(shí)代的來(lái)臨，各個(gè)行業(yè)數(shù)據(jù)量成 BT 級(jí)增長(zhǎng)。 數(shù)據(jù)庫(kù)被廣泛使用在各種新的場(chǎng)景中，在某些場(chǎng)景下面臨的安全威脅是數(shù)據(jù)庫(kù)現(xiàn)有安全機(jī)制無(wú)法防護(hù)的?？梢钥吹降氖牵簲?shù)據(jù)庫(kù)的優(yōu)良性能和落后的安全機(jī)制成為鮮明的對(duì)比。

雖然數(shù)據(jù)庫(kù)安全設(shè)計(jì)最初是按照美國(guó)國(guó)防部的標(biāo)準(zhǔn)制定而成，不過(guò)那些安全標(biāo)準(zhǔn)與現(xiàn)實(shí)安全的意義有著很大的差別。縱然大部分商用數(shù)據(jù)庫(kù)都通過(guò)了安全標(biāo)準(zhǔn)檢驗(yàn)，但隨著功能的開(kāi)發(fā)和部署在危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，安全短板就成為其“阿克琉斯之踵”。

1996年開(kāi)始數(shù)據(jù)庫(kù)安全進(jìn)入安全團(tuán)隊(duì)視野，同年4月份Oracle被披露出第一個(gè)安全漏洞開(kāi)始，隨著新版本和新功能的出現(xiàn)漏洞呈震蕩增長(zhǎng)趨勢(shì)。2014年當(dāng)年被披露的各大數(shù)據(jù)庫(kù)漏洞高達(dá)129個(gè)。

2011-2015主流數(shù)據(jù)庫(kù)漏洞數(shù)量

今年截止到2015 年12 月份初被確認(rèn)數(shù)據(jù)庫(kù)漏洞一共 76個(gè)，比2014年下降了 53 個(gè)，減幅達(dá)到41%。這與各大數(shù)據(jù)庫(kù)公司開(kāi)發(fā)自己的代碼審計(jì)工具有著密不可分的聯(lián)系。

2015年漏洞分布

 2015年數(shù)據(jù)庫(kù)漏洞分布

今年曝出的76個(gè)數(shù)據(jù)庫(kù)漏洞中，MySQL漏洞數(shù)占據(jù)全年漏洞總數(shù)的62%，共計(jì)47個(gè)。漏洞主要集中在5.5 和5.6 這兩個(gè)主流版本中。

安華金和數(shù)據(jù)庫(kù)安全攻防實(shí)驗(yàn)室通過(guò)分析發(fā)現(xiàn)MySQL 的47 個(gè)漏洞散落在12個(gè)MySQL 組件和一個(gè)未知組件上。眾所周知MySQL 是一款易拆合的輕量級(jí)數(shù)據(jù)庫(kù)，因此12 個(gè)組件中有很多是非必備組件。舉個(gè)例子來(lái)說(shuō)innoDB存在的6 個(gè)漏洞，如果您的業(yè)務(wù)不需要 innoDB,則建議禁止innoDB的使用。

MySQL漏洞分布組件

因此，安華金和數(shù)據(jù)庫(kù)安全攻防實(shí)驗(yàn)室建議使用 MySQL 的公司、團(tuán)體和個(gè)人及時(shí)對(duì)自己的 MySQL 數(shù)據(jù)庫(kù)進(jìn)行補(bǔ)丁升級(jí)。有研發(fā)能力的單位最好對(duì)MySQL源碼進(jìn)行審計(jì)，修復(fù)其中的問(wèn)題。關(guān)閉與自己業(yè)務(wù)無(wú)關(guān)的組件，編譯出適合自己應(yīng)用需求的定制化MySQL。

同樣Oracle數(shù)據(jù)庫(kù)也被爆出 14 個(gè)漏洞，位居其次。這些漏洞集中于 java vm、XDB 和Core RDBMS中。Core RDBMS 是Oracle數(shù)據(jù)庫(kù)的最核心組件，在 windows下以一個(gè)Oracle.exe進(jìn)程出現(xiàn)，而Linux下則是分成多個(gè)進(jìn)程，這些進(jìn)程負(fù)責(zé)著不同的功能，以此保證 Oracle 數(shù)據(jù)庫(kù)的正常運(yùn)行。Java VM是java 虛擬機(jī)負(fù)責(zé)運(yùn)行 Oracle中的Java 代碼，例如 Oracle圖形化安裝程序。 XDB 的漏洞往往來(lái)自于 XDB， 是負(fù)責(zé)處理 XML 的組件。 XDB 有2 個(gè)對(duì)外端口是HTTP和 FTP。這2個(gè)端口經(jīng)常會(huì)給數(shù)據(jù)庫(kù)帶來(lái)緩沖區(qū)溢出漏洞—一種無(wú)需身份驗(yàn)證的高危漏洞。

Oracle漏洞分布組件

不過(guò)Oracle數(shù)據(jù)庫(kù)漏洞常年居高不下與其自身復(fù)雜的邏輯密不可分。

2015年數(shù)據(jù)庫(kù)漏洞—按廠商分類

2015年Oracle漏洞數(shù)占了總漏洞數(shù)的83%。這與它旗下兩款數(shù)據(jù)庫(kù)占據(jù)的市場(chǎng)份額和支持的功能復(fù)雜度有著密切關(guān)系。我們應(yīng)該知道，各廠商產(chǎn)品的漏洞數(shù)量不僅與產(chǎn)品自身的安全性有關(guān)，而且也和廠商的產(chǎn)品數(shù)量、產(chǎn)品的復(fù)雜度、受研究者關(guān)注程度等多種因素有關(guān)。因此，我們不能簡(jiǎn)單地認(rèn)為公開(kāi)漏洞數(shù)量越多的廠商產(chǎn)品越不安全。其實(shí) Oracle無(wú)論是性能還是安全性在同業(yè)者中都處于前列。

2015年數(shù)據(jù)庫(kù)漏洞威脅類型

將漏洞按照其危害程度分為：高危漏洞，中危漏洞，低危漏洞三大類。2015年7大主流數(shù)據(jù)庫(kù)中均存在高危漏洞。

2015年數(shù)據(jù)庫(kù)漏洞—按威脅程度分類

其中高危漏洞占漏洞總數(shù)的12%，中危漏洞數(shù)量最多占據(jù)了58%，低威脅漏洞占30%。

 威脅等級(jí)比例

12%的高危漏洞將是安華金和關(guān)注的重點(diǎn)。因此建議：高危漏洞必須及時(shí)處理。在某些特定情況下低危、中危漏洞也會(huì)達(dá)到高危漏洞的危害程度，所以對(duì)于低危漏洞也要及時(shí)修復(fù)。

2015年數(shù)據(jù)庫(kù)漏洞利用趨勢(shì)

數(shù)據(jù)庫(kù)安全發(fā)展到現(xiàn)在，繞過(guò)身份驗(yàn)證依舊是對(duì)數(shù)據(jù)庫(kù)安全最大的威脅。今年的 9個(gè)高危漏洞中的 3 個(gè)是針對(duì)身份驗(yàn)證繞過(guò)的。它們分別采用的是緩沖區(qū)溢出、通訊協(xié)議破解和默認(rèn)口令三張種方式。雖然緩沖區(qū)溢出和通訊協(xié)議破解的漏洞越來(lái)越少，一旦出現(xiàn)將是數(shù)據(jù)庫(kù)的噩夢(mèng)。

2015年SQL 注入依舊是漏洞中的主流，80%以上的漏洞都屬于SQL注入范疇，利用數(shù)據(jù)庫(kù)系統(tǒng) SQL 語(yǔ)言漏洞，通過(guò)對(duì)低權(quán)限用戶進(jìn)行升級(jí)權(quán)限來(lái)獲取更多數(shù)據(jù)庫(kù)內(nèi)的敏感信息。作為數(shù)據(jù)庫(kù)管理員應(yīng)嚴(yán)格分配用戶權(quán)限，防止分配給用戶過(guò)高權(quán)限，對(duì)非必要服務(wù)請(qǐng)進(jìn)行禁用或卸載，防止其中存在的漏洞被黑客利用，對(duì)數(shù)據(jù)庫(kù)造成入侵。

2016年數(shù)據(jù)庫(kù)安全建議

面對(duì)日益嚴(yán)峻的數(shù)據(jù)庫(kù)安全形式，數(shù)據(jù)庫(kù)加固應(yīng)該從三個(gè)方面進(jìn)行：嚴(yán)格限制弱口令、及時(shí)排出配置問(wèn)題、定期升級(jí)補(bǔ)丁。也可以從時(shí)間節(jié)點(diǎn)上劃分為三個(gè)階段：入侵前的檢查防護(hù)，事中的防御阻斷，入侵事后審計(jì)追蹤。事前防護(hù)階段的重點(diǎn)在于排查，定期對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行弱點(diǎn)掃描，網(wǎng)絡(luò)中任何一點(diǎn)的漏洞都可能導(dǎo)致最后的數(shù)據(jù)泄露?？梢远ㄆ谡?qǐng)專人對(duì)整個(gè)網(wǎng)絡(luò)做滲透測(cè)試，同時(shí)通過(guò)數(shù)據(jù)庫(kù)漏洞掃描器等相關(guān)產(chǎn)品對(duì)整個(gè)環(huán)境進(jìn)行安全檢查。

在事中阻斷防御時(shí)，防御的重點(diǎn)在于準(zhǔn)確判斷哪些語(yǔ)句屬于入侵語(yǔ)句。推薦在 Web 前端部署 WAF 來(lái)解決大部分針對(duì) Web 的入侵行為，同時(shí)數(shù)據(jù)庫(kù)前部署專業(yè)的數(shù)據(jù)庫(kù)防火墻。

在事后通過(guò)對(duì)用戶訪問(wèn)數(shù)據(jù)庫(kù)行為的記錄、審計(jì)分析，幫助用戶事后進(jìn)行數(shù)據(jù)泄密行為的追根溯源，提高數(shù)據(jù)資產(chǎn)安全。

結(jié)束語(yǔ)

回顧近年來(lái)安華金和數(shù)據(jù)庫(kù)安全攻防實(shí)驗(yàn)室(DBSecLabs )對(duì)數(shù)據(jù)庫(kù)漏洞的研究，我們發(fā)現(xiàn)任何一款數(shù)據(jù)庫(kù)漏洞的出現(xiàn)和防治都會(huì)遵循某些特定的規(guī)律。雖然每年漏洞出現(xiàn)的數(shù)量并非穩(wěn)定下降，但數(shù)據(jù)庫(kù)自身出現(xiàn)漏洞的幾率越來(lái)越低。漏洞數(shù)量不能穩(wěn)定下降主要有兩方面的原因：

1.很多數(shù)據(jù)庫(kù)為了方便用戶擴(kuò)展了大量接口和功能，新功能在最初的版本總是受到自身漏洞和兼容性漏洞的雙重困擾。

2.黑客利用漏洞的能力越來(lái)越強(qiáng)，以前很多被發(fā)現(xiàn)的漏洞其實(shí)是無(wú)法被利用的，黑客逐漸把其中一些無(wú)法利用的漏洞變成可利用。同時(shí)黑客也會(huì)特別關(guān)注與某些行業(yè)，數(shù)據(jù)庫(kù)漏洞攻擊往往也集中在這些行業(yè)領(lǐng)域。

最后，也是最重要的，大部分?jǐn)?shù)據(jù)庫(kù)漏洞攻擊者依然是以獲利為目的。數(shù)據(jù)庫(kù)跟隨業(yè)務(wù)逐漸從后臺(tái)走向前臺(tái);從內(nèi)外走向外網(wǎng);從實(shí)體走向虛擬(云)。部署環(huán)境的發(fā)展給了黑客更多入侵?jǐn)?shù)據(jù)庫(kù)的機(jī)會(huì)。

完整版報(bào)告下載地址：http://www.dbsec.cn/service/pdf/20151228.pdf