在Oracle數(shù)據(jù)庫中觸發(fā)器被大量使用�����,這是因為無論是在功能還是安全性方面觸發(fā)器相對于Oracle數(shù)據(jù)庫本身都有著眾多優(yōu)勢�。觸發(fā)器可以實現(xiàn)比數(shù)據(jù)庫自身標準功能更精細���、更復雜的數(shù)據(jù)庫控制能力和更便利的數(shù)據(jù)同步功能�。在數(shù)據(jù)同步方面���,觸發(fā)器可以限制對表的修改�����、自動派生列��、強制數(shù)據(jù)的一致性等�����。在強化安全方面�,觸發(fā)器可以在修改數(shù)據(jù)庫數(shù)據(jù)前對操作用戶的權限進行驗證、對數(shù)據(jù)庫做操作限制�、審計用戶操作的數(shù)據(jù)庫語句、實現(xiàn)復雜的數(shù)據(jù)完整性規(guī)則等一系列安全防護措施�����。
觸發(fā)器不僅解決很多功能和安全上的需要����,而且使用范圍廣泛。Oracle幾乎可以為所有事件創(chuàng)建觸發(fā)器��,其中包括DML操作����,如INSERT���、DELETE和UPDATE����,而且可以將這些操作設定為事件前或事件后觸發(fā)。甚至可以為用戶登錄�、用戶被刪除或表被截斷之類的特殊事件定義觸發(fā)器。
剖其本質(zhì)觸發(fā)器是一種由sql語言及其擴展語言編寫成的隱式存儲過程�,它和存儲過程唯一不同的是觸發(fā)器是由一個事件來啟動運行的,并不是被用戶直接調(diào)用的���。由于觸發(fā)器的存儲過程是一個隱式的存儲過程���,所以很多人認為觸發(fā)器本身無法接受用戶的輸入,就算有注入漏洞也難以被利用����。其實則不然,雖然在注入方面加大了一定的利用難度��,但漏洞依舊可以被利用���。在Oracle的演進過程中有很多著名的觸發(fā)器漏洞�。例如: SDO_GEOM_TRIG_INS1、USER_SDO_LRS_METADATA�����、SDO_CMT_CBK_TRIG���、CDC_DROP_CTABLE_BEFORE���、SDO_DROP_USER_BEFORE等等。觸發(fā)器的漏洞和觸發(fā)器本身一樣也是由特定事件啟動的�����,觸發(fā)器中的漏洞猶如Oracle中一顆定時炸彈一般�,一旦被黑客引爆就可以取得數(shù)據(jù)庫的控制權、從而獲取敏感數(shù)據(jù)����、主機操作權限甚至整個內(nèi)網(wǎng)環(huán)境的控制權。
Oracle觸發(fā)器中的漏洞
觸發(fā)器是由sql及其擴展語言編寫而成的�����,所以安全問題往往也發(fā)生在sql代碼上。正是因為這一原因�,如果想利用觸發(fā)器中的漏洞入侵數(shù)據(jù)庫,也需要滿足sql注入漏洞的3個要素:1.通過觸發(fā)器是否可以用低權限用戶拿到高權限執(zhí)行權限�。2.是否存在sql注入點,可以注入存在惡意代碼的參數(shù)�。3.怎么把惡意變量注入到觸發(fā)器中�。
觸發(fā)器提供的權限是定義它自身用戶的權限,也就是說觸發(fā)器都是定義者權限�����。因此具有特殊權限的賬號下的觸發(fā)器被入侵的風險性更大���,一但這些觸發(fā)器存在安全問題�����,則黑客可能利用這些權限獲得整個數(shù)據(jù)庫的控制權���。這些高風險賬號系統(tǒng)自帶的有MDSYS、SYS���、OLAPSYS�����、DBSNMP�����、ORDSYS�����、CTXSYS等��。雖然這些賬號權限各不相同��,但都可以被用來對低權限用戶進行一定程度的提權��,甚至通過漏洞之間的相互配合拿到DBA權限�。
有些人認為觸發(fā)器無法接受直接輸出的參數(shù),同時也無法被直接調(diào)用�����,所以觸發(fā)器漏洞很難被利用�����。但事實確是觸發(fā)器雖然無法直接調(diào)用,無法直接接受參數(shù)����,但它可以間接的接受參數(shù)。
我們一起看一個簡化的例子�。圖中Get_user_password創(chuàng)建了一個惡意函數(shù)。其中觸發(fā)器是由SYS用戶定義的����,在執(zhí)行觸發(fā)器的時候會局部獲取SYS賬號的權限�����。在這一例子中觸發(fā)器的作用是在表A插入內(nèi)容的時候�����,把插入的內(nèi)容同步到B��。用戶輸入的變量會從表A通過觸發(fā)器的改寫流入表B中��。而如果向表A的變量插入惡意語句�����,這些惡意語句則會被帶入到觸發(fā)器中,被觸發(fā)器所擁有的高級權限所執(zhí)行�,最終導致數(shù)據(jù)庫被入侵。
接下來我們一起看下具體的入侵過程:首先我們創(chuàng)建了一個存在惡意語句的函數(shù)GET_user_password��。其中核心語句是 select password from sys.user$where name ==’’SYS’’’;(獲取sys用戶的密碼散列)�����。由于我們拿到的只是一個低權限用戶����,雖然創(chuàng)建了這個存在惡意語句的函數(shù),但并不能執(zhí)行該函數(shù)����。接下來我們找到一個高權限用戶定義的觸發(fā)器,下面就是想辦法把GET_user_password傳輸?shù)接|發(fā)器中����。上文我們已經(jīng)說過由于觸發(fā)器是不接受參數(shù)的所以無法直接寫入?yún)?shù),但我們可以利用觸發(fā)器會把表A中插入的輸入同步插入到表B中這個原理把惡意代碼注入到觸發(fā)器中����。在這一步中由于觸發(fā)器是高權限用戶,則可以對select password from sys.user$where name ==’’SYS’’’;進行查詢,從而最終用低權限用戶獲取SYS的密碼散列�,最后通過一定的算法可以把密碼散列轉(zhuǎn)換成明文,從而獲取SYS賬號的權限����。
以上是一個觸發(fā)器漏洞最簡單的利用過程,當然還有更多更復雜的利用方式����,今后安華金和數(shù)據(jù)庫攻防實驗室會進一步和大家分享。通過以上實例說明��,觸發(fā)器漏洞絕對是可以被利用的�,只是比存儲過程或函數(shù)中的漏洞更加難以利用,更加難以被發(fā)現(xiàn)而已�����。但實際造成的危害絕不比任何數(shù)據(jù)庫上存在的其他漏洞類型造成的危害小����。
Oracle觸發(fā)器漏洞的危害及防護
觸發(fā)器漏洞造成的危害主要可以分為三個級別:
1.對數(shù)據(jù)庫自身及其數(shù)據(jù)庫中存儲的敏感信息造成入侵�;
2.對數(shù)據(jù)庫所在主機及其主機中存在的關鍵信息造成入侵;
3.對數(shù)據(jù)庫所在的網(wǎng)絡環(huán)境及網(wǎng)絡中其他信任它的主機造成入侵�。
每一個級別都會以上一個級別為依托,從觸發(fā)器漏洞這一個點逐漸深入,從數(shù)據(jù)庫到本地主機再到入侵整個網(wǎng)絡和網(wǎng)絡上的主機�。
對于Oracle觸發(fā)器的漏洞防護同樣要追本溯源,從源頭來治理�����。所以對于觸發(fā)器漏洞帶來的威脅防護思路主要是攔和改�����。
攔��,是指通過數(shù)據(jù)庫防火墻等數(shù)據(jù)庫安全產(chǎn)品對訪問數(shù)據(jù)庫的會話中存在的惡意字段進行過濾和糾察���,使得惡意入侵行為被阻斷在數(shù)據(jù)庫防火墻層面�����,無法到達數(shù)據(jù)庫中�����。改��,則是通過修改傳入到數(shù)據(jù)庫中的包的內(nèi)容去掉其中可能的惡意信息����。兩種方式的區(qū)別在于是否中斷整個會話。雖然方式有所不同����,但都會達到防止入侵數(shù)據(jù)庫的目的。
最后也是最重要的就是數(shù)據(jù)庫防火墻部署的位置�。數(shù)據(jù)庫防火墻必須被部署于數(shù)據(jù)庫前,且保證數(shù)據(jù)庫防火墻是進入數(shù)據(jù)庫的唯一通路�����。這樣才能有效防止入侵者利用其他手繞過數(shù)據(jù)庫防火墻直接訪問數(shù)據(jù)庫����,從而真正起到對數(shù)據(jù)庫的安全防護作用。
產(chǎn)品咨詢:4000 258 365 
