阅读更多

10顶
1踩

数据库
卡巴斯基实验室发布安全公告称,研究发现,攻击者只需知道数据库名称和用户名就可以通过暴力破解方式攻破甲骨文公司的Oracle数据库。


AppSec公司开发者Esteban Martinez Fayo在一个安全会议上展示了他的研究成果,他在一个普通PC上,通过一个特殊工具,在5个小时内获取了数据库中的数据。

Fayo称,这非常简单,攻击者只需知道数据库的名称,以及该数据库的一个有效的用户名就行。

Fayo发现Oracle密码验证机制中存在一个加密缺陷,攻击者可以很容易的破解,不需要使用“中间人攻击”模式来欺骗用户,就可以使服务器直接向攻击者泄露重要的信息。

Fayo的团队在2010年5月份首次将这个漏洞告诉甲骨文公司,甲骨文在2011年进行了修复。但是,甲骨文并没有修复当前的数据库版本,11.1和11.2版本仍可能会遭到攻击。最新发布的v12版本中也没有修复这个问题。

Fayo称,可以在11.1中禁用协议,或使用老的版本,如10g。这是目前防止攻击的最有效的解决方法,对于部署Oracle数据库的组织来说至关重要。

甲骨文目前还未对这一消息发表评论。

在上个月底,甲骨文的Java 7全系产品也曾爆出安全漏洞,随后甲骨文发布了Java 7u7版本修复了这一漏洞,但Java 7u7版本又被指出存在安全漏洞

Via CNET
  • 大小: 7.1 KB
10
1
评论 共 10 条 请登录后发表评论
10 楼 charsli 2012-09-25 09:42
grandboy 写道
charsli 写道
掐吧,互相的掐,往死里掐,掐死了oracle,再掐死java,接着再掐死spring,hibernate,struts。那样我就不用在当程序员了。


现在也你也可以不当程序员, 只要你愿意!

我是愿意,可是我的肚子,不愿意,要吃饭。
9 楼 grandboy 2012-09-25 09:28
charsli 写道
掐吧,互相的掐,往死里掐,掐死了oracle,再掐死java,接着再掐死spring,hibernate,struts。那样我就不用在当程序员了。


现在也你也可以不当程序员, 只要你愿意!
8 楼 charsli 2012-09-25 08:55
掐吧,互相的掐,往死里掐,掐死了oracle,再掐死java,接着再掐死spring,hibernate,struts。那样我就不用在当程序员了。
7 楼 mfkvfn 2012-09-24 13:27
2010年5月就告诉Oracle了,2011年才修复。最新发布的版本中还不包含此修复
6 楼 xiaohuafyle 2012-09-24 10:48
靠,oracle对产品的安全性与稳定性要负责哇
5 楼 idle_sun 2012-09-24 09:46
不知道密码的复杂程度。 但是一个普通的PC 5小时暴力攻破。 这个oracle的加密算法也有问题。  或者说这报告在吹牛。。。。
4 楼 sblig 2012-09-24 09:01
卡吧死机 在捣鼓什么玩意
3 楼 archy123 2012-09-24 08:45
攻击者只需知道数据库名称和用户名

还用我告诉你密码么。这不废话么。知道数据库,和用户名称,暴力破解谁都会。

2 楼 nick.s.ni 2012-09-22 08:26
访问数据库??公司内的一般很难访问到吧。至少是不连外网。
1 楼 rentianchou 2012-09-21 23:08
  

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 幂等性与防止重复提交

    什么是幂等性 所谓幂等,简单地说,就是对接口的多次调用所产生的结果和调用一次是一致的。 那么我们为什么需要接口具有幂等性呢?设想一下以下情形: 在App中下订单的时候,点击确认之后,没反应,就又点击了几次。在这种情况下,如果无法保证该接口的幂等性,那么将会出现重复下单问题。 在接收消息的时候,消息推送重复。如果处理消息的接口无法保证幂等,那么重复消费消息产生的影响可能会非常大。 死锁 死锁是指多个线程因竞争资源而造成的一种僵局(互相等待),若无外力作用,这些进程都将无法向前推进。 只有对不可剥夺资源的竞

  • 最简单的6种防止数据重复提交的方法!(干货)

    有位朋友,某天突然问磊哥:在 Java 中,防止重复提交最简单的方案是什么? 这句话中包含了两个关键信息,第一:防止重复提交;第二:最简单。 于是磊哥问他,是单机环境还是分布式环境? 得到的反馈是单机环境,那就简单了,于是磊哥就开始装*了。 话不多说,我们先来复现这个问题。 模拟用户场景 根据朋友的反馈,大致的场景是这样的,如下图所示: 简化的模拟代码如下(基于 Spring Boot): `import org.springframework.web.bind.annotation.RequestMap

  • 防止数据重复提交的6种方法(超简单)!

    .markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...

  • 防止数据恶意重复提交的方法

    如何防止数据重复提交

  • 移动端和web端等多端重复提交问题解决

    最近,在搞移动端接口开发。因为,移动端和web端是共用同一套接口,当移动端和web端在同时打开一个表单提交页面的时候,两者不管谁先提交,后者都能够再次提交,这就造成了重复提交的问题,导致数据重复或者错乱。一般情况下,防止重复提交的方式如下:1、前端控制,即提交按钮只能点击一次,点击后,提交按钮便置灰,不允许再次点击。2、数据库层面控制,这就需要想出满足业务需求的唯一索引约束,比如注册的手机号唯一。

  • 防止表单重复提交的4种方法

    后台接口根据这个AddId,服务端就可以进行缓存标记并进行过滤,缓存值可以是AddId作为缓存key,返回内容作为缓存Value,这样即使添加按钮被多次点下也可以识别出来。比如添加请求的表单里,在打开添加表单页面的时候,就生成一个AddId标识,这个AddId跟着表单一起提交到后台接口。,重复做删除请求至少不会造成数据杂乱,不过也有些场景更希望重复点击提示的是删除成功,而不是目标不存在的提示。客户端做某一请求的时候带上识别参数标识,服务端对此标识进行识别,重复请求则重复返回第一次的结果即可。

  • 防止数据重复提交的6种方法(超简单)

    2020年在匆匆忙忙慌慌乱乱中就这么度过了,我们迎来了新一年,互联网的发展如此之快,技术日新月异,更新迭代成为了这个时代的代名词,坚持下来的技术体系会越来越健壮,JVM作为如今是跳槽大厂必备的技能,如果你还没掌握,更别提之后更新的新技术了。更多JVM面试整理:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

  • 【精品】防止表单重复提交 方法汇总

    在打开页面方法上,设置createToken()为true,此时拦截器会在Session中保存一个token,同时需要在页面中添加,保存方法需要验证重复提交的,设置removeToken为true,此时会在拦截器中验证是否重复提交/*** 创建Token* @return/*** 移除Token* @return(推荐)

  • 如何防止表单重复提交

    今天早上,新来的同事小王突然问我:“周哥,什么是幂等性啊?”。然后我就跟他解释了一番,幂等性就是说无论你执行几次请求,其结果是一样的。说到了幂等就不得不说重复提交了,你连续点击提交按钮,理论上来说这是同一条数据,数据库应该只能存入一条,而实际上存放了多条,这就违反了幂等性。因此我们就需要做一些处理,来保证连续点击提交按钮后,数据库只能存入一条数据。 防止重复提交的方式很多,这里我就说一下我认为比较好用的一种。 自定义注解+Aop实现 我们通过获取用户ip及访问的接口来判断他是否重复提交,假如这个ip在

  • 从客户端中检测到有潜在危险的 Request.Form 值

     从客户端(txtSupplement=" 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。 异常详细信息: System.Web.HttpRequ

  • 使用redis实现防止重复提交,成功解决方案

    1、业务场景 业务开发中,常常涉及对前端操作进行重复校验,避免重复提交造成数据重复操作。比如转账操作,因为网络卡顿,客户连续点击转账按钮,造成多次转成;又比如,连点"核保"操作,如果不做限制,核保通过,如有积分下发功能,有可能会重复下发积分。 2、基础解决方案 通常,我们在数据库层面进行数据校验,但是并发操作下,并不理想。 3、解决方案 本文,使用redis,实现对重复提交进行判断和阻止...

  • 前端和后端防止数据重复提交

    同事打卡时OA系统卡了一下,疯狂点击签到按钮,结果发现出现多条同时间的打卡记录。所以要解决这种短时间内重复提交数据的问题。第一时间想到的是在前端做预防,直接设置签到按钮点击后一秒内变灰,不能点击。后来在网上查了一下,发现还有几种方式可以实现,下面列一下。 一、先了解一下幂等性 幂等(idempotent、idempotence)是一个数学与计算机学概念,常见于抽象代数中,即f(f(x)) =...

  • 防止数据重复提交的方法

    最近开发Web项目遇到的问题,表单重复提交怎么解决呢? 这些重复的提交会消耗性能,甚至有可能会导致重复数据的添加,无效数据多,拖累我们的性能。那么怎么处理呢 项目结构如下: maven: <!--spring-boot-devtools --> <dependency> <groupId>org.springframework.boot</groupId> <artifac.

  • 如何防止重复提交

    用户在连续点击两次提交按钮时,如果不做任何措施,数据中会存在两条数据。 解决方案:在插入数据库时做校验。在代码中插入数据库的部分上一个分布式的锁,用redis做为锁的对象,上锁之后,做判断,短短规则是从数据库里面查一条数据,如果数据不存在,则插入,在数据库中会生成一条id。如果存在(第二条数据的插入),取出这条数据,做更新。这样就可以解决重复插入的问题。 存在问题:分不清楚是重复提交还是用户的...

  • $.ajax防止多次点击重复提交的方法

    第一种:使用$.ajaxPrefilter( [dataTypes], handler(options, originalOptions, jqXHR) ) 方法: $.ajaxPrefilter()方法 :是对全局所有的ajax请求有效,在所有的ajax请求之前,会对每一个请求统一做一些处理,可以去设置ajax的选项,也可以对现有的ajax选项进行更改; 接收两个参数: dataTypes...

  • Spring MVC防止数据重复提交(防止二次提交)

    SpringMvc使用Token 使用token的逻辑是,给所有的url加一个拦截器,在拦截器里面用java的UUID生成一个随机的UUID并把这个UUID放到session里面,然后在浏览器做数据提交的时候将此UUID提交到服务器。服务器在接收到此UUID后,检查一下该UUID是否已经被提交,如果已经被提交,则不让逻辑继续执行下去… 首先要定义一个annotation: @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) .

  • JS以及Java防止数据重复提交

    在很多时候只用Js无法控制数据重复提交,还要有后台的结合. 最近看见一遍文章,个人觉得够用了 分享给大家地址 http://www.cnblogs.com/xdp-gacl/p/3859416.html

  • 如何防止重复提交?

    常人思维,判断是否重复就有对比,与之前的数据进行比较,完全相同则肯定是重复提交。那么如何获取之前的数据呢? 通常策略有两种: 1.持久化之前的数据,再次对比之前进行查询,优点是数据保存时间长,代码逻辑也十分简单。缺点是查询数据库存在在IO操作的瓶颈,在数据量小的时候没有任何问题,体量一大,几秒的查询时间,严重破坏用户体验。 2.维护一个缓存或者类似的区域,或者变量,设定过期时间。这种利用维护...

Global site tag (gtag.js) - Google Analytics