Oracle數(shù)據(jù)庫攻防之道

定　價：￥29.80

作　者：	（英）里奇費德著，楊華譯
出版社：	清華大學(xué)出版社
叢編項：
標　簽：	信息安全

購買這本書可以去

ISBN：	9787302164296	出版時間：	2007-11-01	包裝：	平裝
開本：	16開	頁數(shù)：	205	字數(shù)：

內(nèi)容簡介

　　雖然Oracle不斷改進自己產(chǎn)品的安全特征，但它仍然還有一段很長的路要走。本書作者DAVID　LITCHFIELD將自己多年積累的有關(guān)數(shù)據(jù)庫安全方面的豐富經(jīng)驗與讀者分享，教會讀者如何評估和防護自己的Oracle數(shù)據(jù)。與《數(shù)據(jù)庫黑客大曝光——數(shù)據(jù)庫服務(wù)器防護術(shù)》一書一樣，本書也深入探討了黑客在入侵和威脅ORACLE系統(tǒng)時可能用到的各種技術(shù)和工具，告訴讀者如何找到系統(tǒng)的弱點并保護它。一旦擁有了這些知識，數(shù)據(jù)庫的安全性就有了保證。本書內(nèi)容包括：詳述如何處理OracleRDBMS中的安全隱患；探討一些從未公開的Oracle安全漏洞的攻擊并學(xué)習(xí)如何使它們免受攻擊；解釋獨立安全評估并不一定難保證安全的原因；了解Oracle 10g Release 2已改進的安全特征以及遺留的安全隱患。

作者簡介

　　DAVID　LITCHFIELD是NGSSOFTWARE公司的創(chuàng)始人和首席科學(xué)家，該公司致力于為英國提供安全解決方案。LITCHFIELD被認為是世界上最權(quán)威的Oracle數(shù)據(jù)庫安全專家，他發(fā)出了ORACLE 9I DATABASE SERVER中的一個重要的安全漏洞，并有力地反駁了Oracle“無懈可擊”的市場宣傳，從而贏得了極高的場譽。LITCHFIELD還是NGSSQUIRREL（一種功能強大的數(shù)據(jù)庫服務(wù)器漏洞檢測及風(fēng)險評估工具）的設(shè)計者。另外，他還是一位出色的演講者，經(jīng)常在政府安全機構(gòu)和國際會議上演講，也經(jīng)常在BLACKHAT SECURIT BRIEFINGS等上發(fā)表有關(guān)數(shù)據(jù)庫安全方面的演說。

圖書目錄

第1章　Oracle RDBMS概述　1.1　體系結(jié)構(gòu)　1.2　進程　1.3　文件系統(tǒng)　1.4　網(wǎng)絡(luò)　1.5　數(shù)據(jù)庫對象　1.6　用戶和角色　1.7　權(quán)限　1.8 Oracle補丁　1.9　小結(jié)第2章　Oracle網(wǎng)絡(luò)體系結(jié)構(gòu)　2.1　TNS協(xié)議　2.2　獲得Oracle版本　2.3　小結(jié)第3章　攻擊TNS LISTENER和調(diào)度器　3.1　攻擊TNS LISTENER 3.2 Aurora GIOP Server 3.3 XML數(shù)據(jù)庫 3.4 小結(jié)第4章攻擊身份驗證過程 4.1 身份驗證的工作原理 4.2 攻擊密碼術(shù) 4.3 默認用戶名和密碼 4.4 賬戶窮舉與蠻力攻擊 4.4.1 長用戶名緩沖區(qū)溢出 4.4.2 對Windows XP平臺上Oracle的注釋 4.5 小結(jié)第5章 Oracle與PL/SQL 5.1 PL/SQL的概念 5.2 PL/SQL的執(zhí)行權(quán)限 5.3 包裝PL/SOL 5.3.1 在10g版本上包裝和解包裝 5.3.2 在9i及更早版本上包裝和解包裝 5.3.3 脫離代碼的工作 5.4 PL/SOL注入 5.4.1 注入SELECT語句來獲得更多的數(shù)據(jù) 5.4.2 注入函數(shù) 5.4.3 注入匿名PL/SQL塊 5.4.4 PL/SQL注入的弊端 5.5 隱患研究 5.6 直接執(zhí)行SQL的隱患 5.7 PL/SQL的紊亂條件 5.8 審計PL/sQL代碼 5.9 DBMS ASSEI汀包 5.10 實例 5.10.1 利用DBMS_CDC_IMPDP的漏洞 5.10.2 利用LT 5.10.3 利用漏洞DBMS_CDC_SUBSCRIBE和DBMS CDC ISUBSCRIBE 5.10.4 PL/SQL與觸發(fā)器 5.11 小結(jié)第6章觸發(fā)器 6.1 出于玩笑和利益的目的利用觸發(fā)器的漏洞 6.2 利用觸發(fā)器漏洞的實例 6.2.1 觸發(fā)器MDSYS.SDO_GEOM_TRIG_INS1和SDO_GEOM_TRIG_INS1 6.2.2 觸發(fā)器MDSYS SDO CMT CBK TRIG 6.2.3 觸發(fā)器sYS.CDC DROP CTABLE BEFORE 6.2.4 觸發(fā)器MDSY s_SDO DROP USER BEFORE 6.3 小結(jié)第7章間接增加權(quán)限 7.1 逐步間接獲得數(shù)據(jù)庫管理員的權(quán)限 7.1.1 由CREATE ANY TRIGGER獲得數(shù)據(jù)庫管理員權(quán)限 7.1.2 由CREATE ANY VI.EW獲得數(shù)據(jù)庫管理員權(quán)限 7.1.3 由EXECUTE ANY PROCEDUR.E獲得數(shù)據(jù)庫管理員權(quán)限 7.1.4 由CREATE PROCEDUER獲得數(shù)據(jù)庫管理員權(quán)限 7.2 小結(jié)第8章戰(zhàn)勝虛擬專有數(shù)據(jù)庫 8.1 設(shè)計使Oracle丟棄某種機制 8.2 利用原文件訪問戰(zhàn)勝VPD 8.3 通用權(quán)限 8.4 小結(jié)第9章攻擊OracIe PL，SQL Web應(yīng)用程序 9.1 Oracle PL/SQL網(wǎng)關(guān)體系結(jié)構(gòu) 9.2 識別Oracle PL/SQL網(wǎng)關(guān) 9.2.1 PL/SSQ網(wǎng)關(guān)URL 9.2.2 Oracle Portal 9.3 驗證Oracle PL/SQL網(wǎng)關(guān)的存在 9.3.1 Web服務(wù)器、HTTP服務(wù)器響應(yīng)的報頭 9.3.2 Oracle PL/SQL網(wǎng)關(guān)與數(shù)據(jù)庫服務(wù)器的通信方式 9.4 攻擊PL/SQL網(wǎng)關(guān) 9.5 小結(jié)第10章運行操作系統(tǒng)命令 10.1 通過PL/SQL運行OS命令 10.2 用Java運行OS命令 10.3 使用DBMS_SCHEDULER運行OS命令 10.4 直接用任務(wù)調(diào)度程序運行OS命令 10.5 使用ALTER SYSTEM運行OS命令 10.6 小結(jié)第11章訪問文件系統(tǒng) 11.1 用UTL FILE包訪問文件系統(tǒng) 11.2 用Java訪問文件系統(tǒng) 11.3 訪問二進制文件 11.4 利用操作系統(tǒng)環(huán)境變量 11.5 小結(jié)第12章訪問網(wǎng)絡(luò) 12.1 數(shù)據(jù)泄露 12.1.1 使用UTL_TCP 12.1.2 使用UTL_HTTP 12.1.3 使用DNS查詢和UTL_INADDR 12.2 數(shù)據(jù)加密優(yōu)先于數(shù)據(jù)泄露 12.3 攻擊網(wǎng)絡(luò)上的其他系統(tǒng) 12.4 Java和其他網(wǎng)絡(luò) 12.5 數(shù)據(jù)庫鏈接 12.6 小結(jié)附錄默認用戶名和密碼