2008年4月25日，據(jù)國(guó)外媒體報(bào)道，安全研究人員公布了一種能使黑客攻擊Oracle數(shù)據(jù)庫(kù)的新方法。

該研究人員稱(chēng)，為了能夠改變或刪除數(shù)據(jù)，甚至安裝軟件，這種稱(chēng)為側(cè)面SQL注入的攻擊可被用于獲取Oracle服務(wù)器上數(shù)據(jù)庫(kù)管理員的特權(quán)。這位研究人員在2月份的Black Hat Washington大會(huì)上也曾透露了這種攻擊，但在本星期四他發(fā)表了一篇帶有這種攻擊技術(shù)細(xì)節(jié)的一篇論文。

在一次SQL注入攻擊中，黑客們能夠創(chuàng)建專(zhuān)門(mén)偽造的搜索詞語(yǔ)，這種詞語(yǔ)可欺騙數(shù)據(jù)庫(kù)運(yùn)行SQL命令。以前，安全專(zhuān)家們認(rèn)為只有攻擊者將字符串輸入到數(shù)據(jù)庫(kù)中，SQL 注入式攻擊才能工作，但是新型的攻擊可以通過(guò)被稱(chēng)為日期型和數(shù)字型的新數(shù)據(jù)類(lèi)型實(shí)現(xiàn)。

新型攻擊針對(duì)的是由Oracle開(kāi)發(fā)人員所使用的過(guò)程語(yǔ)言或SQL編程語(yǔ)言。

據(jù)了解，該安全研究人員是一位著名的數(shù)據(jù)庫(kù)黑客，他主要被認(rèn)為是著名的研究人員，他曾公布了用于2003 SQL Slammer蠕蟲(chóng)的漏洞細(xì)節(jié)，這種蠕蟲(chóng)針對(duì)的是微軟的SQL Server數(shù)據(jù)庫(kù)。他認(rèn)為這種側(cè)面SQL注入式攻擊能夠在某些情況下引起真正的破壞。

“如果你碰巧正使用Oracle，而且你在上面編寫(xiě)自己的應(yīng)用程序，那么，你可能正在編寫(xiě)易受攻擊的代碼，”他說(shuō)。他認(rèn)為數(shù)據(jù)庫(kù)的程序設(shè)計(jì)人員應(yīng)當(dāng)檢查他們的代碼，以確保其代碼能夠檢查并保障它所處理的數(shù)據(jù)是合法的，不應(yīng)當(dāng)是可被注入的SQL命令。

對(duì)此新型攻擊，Oracle并沒(méi)有任何官方回復(fù)。

更多信息請(qǐng)查看IT技術(shù)專(zhuān)欄