Атаки на рівні систем керування базами даних
Захист СУБД є однією з найпростіших завдань. Це пов'язано з тим, що СУБД мають строго певну внутрішню структуру і операції над елементами СУБД задані досить чітко.
Є чотири основних дії - пошук, вставка, видалення і заміна елемента. Інші операції є допоміжними і застосовуються досить рідко. На відмінність строгої структури і чітко визначених операцій спрощує рішення задачі захисту СУБД. У більшості випадків зловмисники воліють зламувати захист інформаційної системи на рівні операційної системи і отримувати доступ до файлів СУБД за допомогою засобів операційної системи.
Однак у випадку, якщо використовується СУБД, що не має достатньо надійних захисних механізмів, або погано протестована версія СУБД, що містить помилки, або якщо при визначенні політики безпеки адміністратором СУБД були допущені помилки, то стає цілком ймовірним подолання захисту, що реалізовується на рівні СУБД.
Крім того, є два специфічних сценарії атаки на СУБД, для захисту від котрих потрібно застосовувати спеціальні методи.
У першому випадку результати арифметичних операцій над числовими полями СУБД округляються в меншу сторону, а різниця підсумовується в деякій іншій записи СУБД (як правило, цей запис містить особовий рахунок зловмисника в банку, а числові поля, що округляються відносяться до рахунків інших клієнтів банку ).
У другому випадку зловмисник отримує доступ до полів записів СУБД, для яких доступною є тільки статистична інформація. Ідея атаки на СУБД - так хитро сформулювати запит, щоб безліч записів, для якого збирається статистика, складалося тільки з одного запису.
Дата добавления: 2015-07-24; просмотров: 1034;