点击↑蓝字

关注墨云安全

数据库，在数据安全体系中的重要性堪比银行的金库。数据库安全是数据安全体系的基石，数据库的安全稳定运行也直接决定着业务系统能否正常使用。没有数据库安全，数据的采集分类、数据管控等整个数据安全生命周期中做的努力都变得毫无意义。

数据安全生命周期图

数据库占据了数据安全生命周期中的数据存储部分，数据库的安全性是需要优先考虑的问题。当前，数据库面临的主要威胁如下：

1.SQL注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL攻击通过用户交互界面输入实施，可以轻易击穿层层安全防护，直接触达核心数据。SQL攻击的基础原理是用户输入恶意拼接后的检索语句，如果代码检查不够严格，那么恶意语句就会通过SQL检索语句对数据库进行操作。随着如sqlmap等攻击工具的发展，SQL注入攻击变得更加容易，对系统的威胁不断增加。

2.默认、空白和强度弱的用户名或者密码

默认账密和弱口令问题是攻防实战中最常见的问题之一。数据库是一个完整的系统，其本身就具有一定的安全性，但是大多数开发者为了使用方便，往往使用默认的、简单易猜解的账号密码配置权限账号，如“admin、sa、123456”等。

3.过度的用户和用户组权限

当前几乎所有数据库系统都支持通过用户和用户组的权限来控制不同库表结构的读写权限，研发者往往过度自信于程序代码开发过程中的安全控制，从而忽略了使用数据库系统本身自带的权限体系，从而给到代码系统过高的权限。

4.配置错误

配置错误包括功能配置和参数配置。对于数据库系统来说，大多数功能配置与数据的读取和写入有关，启用非必要的功能会增大攻击面，从而升高了数据库系统的风险。

参数配置除了权限配置错误之外，还有一种情况是直接将数据库口令写入代码中，而代码的托管又存在风险，有些研发人员会在不经意间将代码上传至公开的托管平台，如果其中包含了数据库口令配置，将导致任何可以接触代码的人都可以直接操纵数据库。

5.缓冲区溢出

缓冲区溢出漏洞是一种普遍、危害范围大的软件漏洞，常见于C代码中。利用缓冲区溢出攻击，可以导致数据库系统宕机、重启等后果。更为严重的是，攻击者可以利用它执行非授权指令，甚至取得系统特权，进而施行攻击行为。

6.权限提升

即便是解决了前文中提到的配置错误、权限过度，数据库仍然面临账号提权的风险。有些低权限的账户，通过一些间接手段，比如通过查看数据库配置文件，获得root权限，或通过操作系统层面的联动，也可以获取数据库系统更高的控制权。

7.拒绝服务攻击

拒绝服务攻击的本质是通过恶意攻击耗尽服务资源来阻塞正常的服务。常见的拒绝服务攻击大多是分布式的，而数据库本身读写数据需要时间，攻击者甚至不需要分布式也可以对其发动攻击。被攻击的数据库无法及时对业务系统进行提供数据查询、数据修改等功能支持。

8.明文存储密码和隐私等重要数据

重要数据的加密和脱敏，是数据库安全的最后一道防线，能在数据泄漏时最大程度地降低损失。在最早的安全系统中，账号密码都是明文存储的，一旦泄漏，黑客可以拿着A平台的账号密码去B账号进行尝试，俗称“撞库”。由于很多用户会在多个平台使用相同密码，所以撞库造成的危害比较大。

最常见、有效的验证数据库系统安全性的检测方法便是渗透测试。多数企业除了进行自检外，可以委托第三方专业渗透测试团队对自身系统开展专项检查。但传统的渗透测试团队依旧以人工渗透为主，耗时长、成本高，可能存在不可预测的业务安全风险，因此，针对数据安全的自动化渗透测试工具成为了更多企业的选择。

墨云科技旗下主流产品Vackbot智能自动化渗透测试平台是目前国内行业领先的自动化渗透测试工具，Vackbot涵盖常见的三万多个API安全漏洞，检测效率是传统检测工具的8倍以上。结合AI与渗透攻防测试技术，Vackbot在已知接口安全检测完成之后，还可以针对路径进行猜想假设，发现被遗忘、疏于管理的数据服务API接口，并对其进行安全检测。

除了常规的API检测，Vackbot渗透测试机器人还拥有内网渗透功能，经过授权后，基于人工智能辅助决策，Vackbot在API接口安全检测之后可以尝试突破内网并对API数据接口服务安全隐患所导致的风险进行量化评估，回溯展示整个渗透测试过程，帮助定位需优先处理的重要安全漏洞，有利于安全修复方案的落地与推进。

同时，Vackbot智能自动化渗透测试平台支持云模式和内网独立部署等多种模式，云模式的服务只需开通账号即可进行API安全检测，独立部署模式则可以通过网络隔离更好地保护企业隐私数据。