第三方数据审核拒绝出款 Windows应急响应和系统加固(12)——SQL Server/MySQL/Oracle日志提取和安全分析

MS SQL /MySQL/日志提取和安全分析

一、MS SQL 日志分析：

1.MS SQL 数据库简介:

SQL ，是微软推出的关系型数据库解决方案( ：RDBMS)，使用方便，可伸缩性好，且与相关软件集成程度高等优点，因而被广泛使用。

SQL 的特点：图形化操作、管理，上手容易，维护效率高，是最受欢迎的商业数据库之一，可跨越从运行 98 的膝上型电脑到运行 2012 的大型多处理器的服务器等多种平台使用。

MS SQL 默认启用日志**功能，但是仅限失败的登录，因此，我们应修改**为"失败和成功的登录"，如图：

这样，可对用户的登录行为进行审核。

2.MS SQL 数据库常见漏洞分析：

SQL 经典的漏洞类型： 远程堆溢出漏洞（CVE-2008-5416）、Lyris MSDE SA弱密码漏洞（CVE-2005-4145）。

SQL 影响范围比较广的漏洞类型有：缓冲区溢出漏洞、弱密码、权限提升、拒绝服务、SQL注入等几种。

，可让人们以OS命令行解释器的方式执行指定的命令字符串并以文本行方式返回任何输出，是一个功能非常强大的扩展存贮过程，但后来此指令可以被用来提权，因此默认为关闭。

3.MS SQL 的日志分析：

.可通过SQL ，查找和发现 SQL执行的效率和语句问题;

.可结合Web (WAF)日志，通过查看日志文件的大小，分析日志具体内容，综合判断DBMS是否遭遇SQL(工具)注入漏洞的攻击；

.可借助第三方的工具（）来审计和分析MS 的日志.

二、MySQL日志分析：

1.MySQL数据库简介：

MySQL，由瑞典MySQL AB 公司开发，属于 旗下产品中小型关系型数据库管理系统，RDBMS，使用标准化SQL查询语言；

MySQL数据库的特点：体积小，速度快，总体部署成本低，性能优越，搭配php、perl、、，形成极佳的开发和集成环境，因此，世界著名，是目前世界上使用最为广泛的数据库之一；

2.MySQL数据库常见漏洞分析：

MySQL SQL 、UDF/MOF提权，ROOT身份权限、 、LPK劫持、远程代码执行RCE等漏洞。

3.MySQL日志分析：

.查看log配置信息指令：show like '%%'，日志文件一般存储格式为"主机名.log"；

在日志分析中，特别需要注意一些敏感的操作行为，比如：删表、备库，读写文件（、into 等相关读写执行函数）等，例如以下关键词需要注意：drop table、drop 、lock 、 、

() 、into 、into ......

例如：攻击：利用into ()函数写入一句话木马，拿：

1' union 1,"" into 'C:\\\WWW\\ana.php'#

.mysql读、写文件的配置：SHOW LIKE '%%' (当值没有具体值时，表示不对的导入和导出做限制)。

三、日志分析：

1.数据库简介：

DBMS是一款是甲骨文公司的一款关系型数据库管理系统，市场占有率高，在数据库领域有极其重要的地位，是世界上流行的关系数据库管理系统；

DBMS数据库是世界上第一个支持SQL语言的关系型数据库；

DBMS提供了丰富的包、存储过程，具有支持Java运行和创建等开发功能，拥有丰富的系统表，几乎所有的信息都存储在系统表；

广泛应用于金融、邮电、电力、民航等数据吞吐量大，网络结构复杂的重要企业和机构；

常用版本：9i、10g、11g、12c、18c。

2.数据库常见的漏洞分析：

在安全性方面，尽管制定了完善的安全策略，提供了详尽的安全机制，但是随着 RDBMS新版本的不断发布，新的问题依然层出不穷，例如：弱密码问题，SID被猜解，SQL注入，权限配置不当、拒绝服务攻击等安

全问题。

3.数据库日志分析：

.审计（Audit）和日志**，可**用户对数据库所做的操作，默认情况下，使用管理员权限连接实例（），开启及关闭数据库是会强制进行审计的，无论是否打开数据库的审计功能(其它的基础的操作则没有

进行审计。)，会将审计和Trace跟踪结果（是否开启审计**的功能），存放到OS文件里，默认位置在：$/admin/$/adump/ 或存储在数据库表里（存储在表空间中的SYS.AUD$表中，可通过

视图查看），可使用"show audit"命令查看相关设置。

."show "指令(日志审计的设置)相关介绍：

的设置值：

NONE：不开启；

DB：开启审计功能（后默认开启，All audit in the audit trial (AUD$)）；

OS：审计**写入一个操作系统文件（）；

TRUE：与参数DB一样；

：审计结果放在数据库表中，并额外**和（具体执行语句）；

FALSE：不开启审计功能；

xml：启用审计功能，审计信息写入xml格式的操作系统文件中。

.的其他审计类型：

语句审计（ ）：对特定的SQL语句进行审计**，不指定具体对象；

权限审计（ ）：对特定的系统权限使用情况进行审计**；

对象审计（ ）：对特定的模式对象上执行的特定语句进行审计**；

网络审计（ ）：对网络协议错误与网络层内部错误进行审计**。

此外，根据用户是否成功执行，可以分为：

对执行成功的语句进行审计；

对不成功的语句进行审计；

无论成功与否都进行审计。

根据对同一个语句审计次数不同，可以分为会话审计和存取审计。

会话审计：对某个用户或所有用户，同一语句，只审计一次，形成一条审计**；

存取审计：对某个用户或所有用户，同一语句，每执行一次就审计一次，形成多条审计**。

四、第三方数据库审核**：

数据库审计（）可实时**网络上数据库活动，对数据库操作细粒度审计，合规性管理，对数据库遭受到的风险行为、漏洞攻击行为进行告警，对攻击行为进行阻断。

通过对用户访问数据库行为，**、分析、汇报，事后生成合规报告，事故追踪，溯源，加强内外部数据库网络行为**，提高数据安全。