📜  数据库测试–安全性

📅  最后修改于: 2020-12-06 11:29:57             🧑  作者: Mango


完成数据库安全性测试是为了发现安全性机制中的漏洞,并且还涉及发现数据库系统的漏洞或弱点。

数据库安全性测试的主要目标是找出系统中的漏洞并确定其数据和资源是否受到潜在入侵者的保护。安全测试定义了一种在定期执行时有效识别潜在漏洞的方法。

下面给出的是执行数据库安全测试的主要目标-

  • 认证方式
  • 授权书
  • 保密
  • 可用性
  • 廉洁
  • 弹性

数据库系统上的威胁类型

SQL注入

这是数据库系统中最常见的攻击类型,在该系统中,恶意SQL语句插入到数据库系统中并执行以从数据库系统中获取关键信息。这种攻击利用了用户应用程序实施中的漏洞。为避免这种情况,应谨慎处理用户输入字段。

数据库中的特权提升

在这种攻击中,用户已经在数据库系统中具有某些访问权限,并且他仅尝试将该访问权限提升到更高的级别,以便他/她可以在数据库系统中执行一些未授权的活动。

拒绝服务

在这种类型的攻击中,攻击者使合法用户无法使用数据库系统或应用程序资源。还可以通过使应用程序(有时甚至是整个计算机)无法使用的方式来攻击应用程序。

未经授权访问数据

另一种攻击类型是未经授权访问应用程序或数据库系统中的数据。未经授权的访问包括-

  • 通过基于用户的应用程序未经授权访问数据
  • 通过监视他人的访问来进行未经授权的访问
  • 未经授权访问可重用的客户端身份验证信息

身份欺骗

在身份欺骗中,黑客使用用户或设备的凭据对网络主机发起攻击,窃取数据或绕过对数据库系统的访问控制。防止这种攻击需要IT基础架构和网络级别的缓解措施。

数据处理

在数据操纵攻击中,黑客更改数据以获得某些优势或破坏数据库所有者的形象。

数据库安全测试技术

渗透测试

渗透测试是对计算机系统的攻击,旨在发现安全漏洞,并有可能获取对其的访问,其功能和数据。

风险发现

风险发现是评估和确定与损失类型和发生漏洞的可能性有关的风险的过程。这是在组织内部通过各种采访,讨论和分析确定的。

SQL注入测试

它涉及检查应用程序字段中的用户输入。例如,不应在用户应用程序的任何文本框中输入特殊字符,如“,”或“;”。当发生数据库错误时,这意味着将用户输入插入某个查询中,然后由应用程序执行该查询。在这种情况下,应用程序容易受到SQL注入的攻击。

这些攻击对数据构成了巨大威胁,因为攻击者可以从服务器数据库访问重要信息。要检查Web应用程序中的SQL注入入口点,请从代码库中查找代码,在代码库中,通过接受一些用户输入,在数据库上执行直接MySQL查询。

可以对括号,逗号和引号执行SQL注入测试。

密码破解

这是执行数据库系统测试时最重要的检查。要访问关键信息,黑客可以使用密码破解工具或猜测通用的用户名/密码。这些常用密码可在Internet上轻松获得,并且密码破解工具免费存在。

因此,有必要在测试时检查系统中是否维护了密码策略。对于任何银行和金融应用程序,都需要在所有关键信息数据库系统上设置严格的密码策略。

数据库系统安全审计

安全审核是一种定期评估公司安全策略以确定是否遵守必要标准的过程。可以根据业务需求遵循各种安全标准来定义安全策略,然后可以根据这些标准对设置的策略进行评估。

最常见的安全标准示例为ISO 27001,BS15999等。

数据库安全测试工具

市场上有各种系统测试工具,可用于测试操作系统和应用程序检查。下面讨论一些最常用的工具。

Zed攻击代理

它是一种渗透测试工具,用于发现Web应用程序中的漏洞。它被设计为具有广泛的安全经验的人使用,因此,它是渗透测试新手的开发人员和功能测试人员的理想选择。它通常用于Windows,Linux,Mac OS。

帕罗斯

服务器和客户端之间的所有HTTP和HTTPS数据(包括cookie和表单字段)都可以使用这些扫描器进行拦截和修改。它用于Java JRE / JDK 1.4.2或更高版本的跨平台。

社会工程师工具包

它是一个开放源代码工具,人为元素(而不是系统元素)受到攻击。它使您能够发送包含攻击代码的电子邮件,java applet等。它是Linux,Apple Mac OS X和Microsoft Windows的首选。

此工具用于扫描其站点的漏洞。该工具生成的报告旨在作为专业Web应用程序安全评估的基础。它是Linux,FreeBSD,MacOS X和Windows的首选。

维加

它是一个开放源代码,多平台的Web安全工具,用于查找SQL注入实例,跨站点脚本(XSS)和Web应用程序中的其他漏洞。它是Java,Linux和Windows的首选。

麋鹿

Wapiti是一个开源的基于Web的工具,它可以扫描Web应用程序的网页并检查可在其中插入数据的脚本和表单。它使用Python构建,可以检测文件处理错误,数据库,XSS,LDAP和CRLF注入,命令执行检测。

网甲虫

它用Java编写,用于分析通过HTTP / HTTPS协议进行通信的应用程序。该工具主要是为可以自己编写代码的开发人员设计的。此工具不依赖于操作系统。