電腦系統最容易被忽略的9大漏洞

　　這些漏洞存在的主要原因在於數據庫本身並沒有進行全面安全防護，並且服務器配置還需要數據庫管理員根據企業要求重新進行配置。企業必須對數據庫進行評估來確定某些功能是否真的必要，以及禁用那些不需要的功能來減少攻擊面。此外，企業必須對默認設置或者較弱的登錄憑證時刻保持警惕，必須部署完善的特權和身份驗證措施，最重要的是，企業需要定期修復補丁。

　　在所發現的漏洞中，有將近一半的漏洞或直接或間接地與數據庫環境內不適當的補丁修復管理有關。這是很恐怖的概念：在前三個月補丁修復周期內，只有38%的管理員修復企業的Oracle數據庫，並且只有三分之一的管理員花費一年或者更長時間進行修復。

　　1. 默認、空白和強度弱的用戶名或者密碼

　　在一個企業中，跟蹤數百或者甚至數千個數據庫可能是很艱巨的任務，但是刪除默認、空白以及強度弱的登錄憑證將是完善數據庫安全非常重要的第一個步驟。攻擊者們總是將注意力放在這些默認帳戶上，必要的時候就能派上用場。

　　2. SQL注入攻擊

　　SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多，但是由於程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

　　如果企業數據庫平台無法對輸入內容進行審查，攻擊者將能夠執行SQL注入攻擊，就像在web攻擊中所做的那樣，SQL注入攻擊最終將允許攻擊者提升權限，並且獲取對更廣泛功能的訪問權限。很多供應商發布了修復程序來避免這些問題，但是如果DBMS仍然未打補丁，這些修復程序也幫不了企業管理者。

　　3.廣泛的用戶和組特權

　　企業必須確保沒有將特權給那些不必要的用戶。安全專家建議，只有將用戶設置為組或者角色的一部分，然後通過這些角色來管理權限，這樣將比向用戶分配直接權利要更加易於管理。

　　4.啟用不必要的數據庫功能

　　每個數據庫安裝都會附帶各種類型各種大小的功能，並且大部分都不會被企業所使用。數據庫安全意味著減少攻擊面，企業需要審查這些數據庫功能，找出不必要或者不使用的功能，然後禁用或者卸載它們。這不僅能夠降低通過這些載體發動的零日攻擊的風險，而且能夠簡化補丁修復管理，因為這些不必要的功能也需要進行補丁修復。