六、利用体系结构设计缺陷
下面,我们将介绍设计缺陷有哪些?如何利用这些缺陷?以及如何识别和抵御这些攻击。
对于MySQL,历史上曾经出现过多个设计缺陷,它们主要影响身份验证协议,这些我们在上文中已经介绍过了。下面,我们将从更通用的、体系结构的角度来考察在MySQL中的各种安全弱点。
认证机制中的各种漏洞允许远程用户无需任何凭证就可以通过身份认证,这些应该属于体系结构漏洞中最严重的一类。
我们知道,凡事都有其两面性,MySQL的简单性虽然给我们带来了便利,但是它同时也成为了其最大的弱点。举例来说,Microsoft SQL Server的一个极其有用的特性就是能够在远程数据库服务器上执行查询,比如我们可向服务器发送一个如下所示的查询:
SQL Server中的OpenRowset语句允许您在SQL Server查询过程中向另一个运行不同的数据库管理系统的)服务器提交查询。但是这个特性很容易被滥用。据我们所知,最常用的滥用方式之一是可以通过它来扫描该SQL Server所在网络的端口,因为它可以利用不同长度的响应时间来确定远程主机是否存在,是否为SQL Server。
而对于MySQL来说,由于没有对应的OpenRowset语句,因此MySQL也就不会遭受此类攻击了。可问题是,如果软件的行为太简单,那么就可能缺少针对滥用的保护措施。
本站文章为和通数据库网友分享或者投稿,欢迎任何形式的转载,但请务必注明出处.
同时文章内容如有侵犯了您的权益,请联系QQ:970679559,我们会在尽快处理。