Đang tải... (xem toàn văn)
BAN CƠ YẾU CHÍNH PHỦHỌCVIỆNKỸTHUẬTMẬTM Ã BÀI TẬP LỚN MÔN AN TOÀNCƠSỞDỮLIỆU GIẢNGVIÊNHƯỚNGDẪN TS TRẦN THỊ LƯỢNGSINHVIÊN THỰCHIỆN HỨA THỊ THU HIỀN – AT13DNGUYỄNTHỊTHUTRANG– AT13DTRẦNMINHHIẾU– AT13D LÊCÔ[.]
BAN CƠ YẾU CHÍNH PHỦHỌCVIỆNKỸTHUẬTMẬTM Ã BÀI TẬP LỚN MƠN AN TOÀNCƠSỞDỮLIỆU GIẢNGVIÊNHƯỚNGDẪN: TS TRẦN THỊ LƯỢNGSINHVIÊN THỰCHIỆN: HỨA THỊ THU HIỀN – AT13DNGUYỄNTHỊTHUTRANG– AT13DTRẦNMINHHIẾU– AT13D LÊCÔNGTHẢO–AT13D HàNội,2019 BAN CƠ YẾU CHÍNH PHỦHỌCVIỆNKỸTHUẬTMẬTM Ã ĐỀTÀI TÌMHIỂUVỀTẤNCƠNGLEOTHANGĐẶCQU YỀN(PRIVILEGEESCALATION)TRÊNORACLEVÀ THỰC NGHIỆM Giảngviênhướngdẫn:Si TS.TrầnThịLượng nhviênthựchiện: Hứa Thị Thu Hiền – AT13DTrầnMinhHiếu–AT13DLê CôngThảo–AT13D NguyễnThịThuTrang–AT13D HàNội,2019 MỤCLỤC DANHMỤCTỪVIẾTTẮT DANHMỤCHÌNHẢNH LỜINÓIĐẦU CHƯƠNG1:CƠSỞLÝ THUYẾT 1.1) GiớithiệuvềOracle 1.2) Quá trình cài đặt Oracle 1.3) Cácloại côngtrên Oracle 16 1.3.1) TấncôngSQLInjection .16 1.3.2) TấncôngchènPL/SQL 17 1.3.3) TấncôngRootkit Oracle 17 1.3.4) TấncôngOracleListener .17 1.3.5) SâuOracle 17 CHƯƠNG2:TÌMHIỂUVỀTẤNCƠNGLEOTHANGĐẶCQUYỀN (PRIVILEGE ESCALATION)TRÊN ORACLEVÀTHỰC NGHIỆM 19 2.1) Tổngquanvềleo thang đặcquyền 19 2.2) Cáchthứctấn công 21 2.3) Các kỹthuậtleo thang đặc quyền vàcách phòngtránh 22 2.3.1) Kỹthuậtthao táctokentruy cập 22 2.3.2) Khaithác lỗhổngtrongviệcquảnlýtàikhoảnngườidùngvàquyền đượcthiết lập 24 2.3.3) Sửdụngtài khoản hợplệ 25 2.4) Bàitoánthựcnghiệm 26 2.3) Tháchthức 32 2.4) Giảiphápbảo mật Oracle Database 32 TỔNGKẾT 34 TÀILIỆUTHAMKHẢO 35 DANHMỤCTỪVIẾTTẮT Từviếttắt CSDL SQL DBA OS CNTT ID Từviếtđầyđủ CơSởDữLiệu StructuredQuery Language DatabaseAdmin OperatingSystem CôngNghệ ThôngTin Identification Ýnghĩa Cơsởdữliệu Ngônngữtruyvấn Quảntrịcơsởdữliệu Hệ điềuhành Cơngnghệthơngtin Địnhdanh DANHMỤCHÌNHẢNH Hình1: Tải vềfilecàiđặt Hình2: Giảinénfilecài đặt .4 Hình3: Chạy filecàiđặt Hình4: Bước1 -Đăngnhập oracle Hình5: Bước2 -Càiđặt lựachọn .6 Hình6: Bước3 -càiđặtserver Hình7: Bước4 -Càiđặt database Hình8: Bước5 -Càiđặt tùychọn .7 Hình9: Bước6 -Chọn ngônngữ .8 Hình10: Bước7 -Chọnphiên oracle Hình11: Bước8 -Tạo user .9 Hình12: Bước9 -Chọn lưu trữ Hình13: Bước10 -Càiđặt bổsung 10 Hình14: Bước11 -Đặttêndatabase .10 Hình15: Bước12.1- Cài đặtlưu trữ 11 Hình16: Bước12.2- Cấu hìnhfont chữ 11 Hình17: Bước12.3- Cài đặt bổsung 12 Hình18: Bước13 -Chọn filelưu trữdữliệu 12 Hình19: Bước14 -Đăngký thànhviên 13 Hình20: Bước15 -Càiđặtfilerecovery 13 Hình21: Bước16 -Càiđặt mật khẩudatabase 14 Hình22: Bước18 -Càiđặt tựđộng 14 Hình23: Bước19.1- Cài đặttựđộng (1) 15 Hình24: Bước19.2- Cài đặttựđộng (2) 15 Hình25: Bước19.3- Thơng tincàiđặt 16 Hình26: Bước20 -Hồnthành cài đặtthànhcông 16 Hình27: Demo - đăng nhậpvớiquyềnsys .27 Hình28: Demo - Tạouserlctvàgánquyền .27 Hình29: Demo- Tạobảng cấp quyền indexchouserlct .28 Hình30: Demo -User lct cốgắnglấy quyền dba 28 Hình31: Demo - Userlct tạofunction 29 Hình32: Demo- Userlct lậpchỉmụcvớifunction tạo 29 Hình33: Demo -User lct lấyquyềndbathành cơng .30 Hình34: Demo - kếtthúc,tấncơngthànhcơng 30 LỜINÓIĐẦU Cơsởdữliệulàmộttrongnhữngngànhđượcquantâmnhiềutrongkhoahọc máytínhnóichungvàtrongcơngnghệthơngtinnóiriêng.Từkhi có mơ hình sở liệu vào năm 60 đến nay, tuykhông phải chặng đường dài so với ngành khoa học khác, nhưngvới ngành khoa học máy tính đặc biệt sở liệu thờigian đáng kể Cơ sở liệu trải qua nhiều hệ hệ quản trị sởdữliệuđãcónhiềuứngdụngtrongkhoahọcvàcác ngànhkinhtếkhác.Hệ quản trị sở liệu Oracle hệ quản trị sở dữliệulưutrữthơngtinantồnvàchắcchắnđồngthờilạitruycậpchínhxác,dễdàng Cơ sở liệu (CSDL) tổ chức, doanh nghiệp mụctiêu nhiều công Bởi nơi lưu trữ thơng tin vềkhách hàng nhiều liệu bí mật khác Một ngun nhânkhiênchocácCSDLdễbịtổnthươngbởicác tấncơnglàdocáctổchức,doanh nghiệpchưacóbiệnphápbảovệđầyđủchonguồntàingunnày Khi kẻ xấu truy nhập vào liệu nhạy cảm, thực tất cảcác công việc để gây mát tài phá hoại danh tiếng củatổ chức doanh nghiệp Bản báo cáo nhóm chúng em xin trình bày vềđềtàitấn cơngleo thangđặcquyềnvàocơsởdữ liệuOracle Do cịn hạn chế nhiều thời gian, kiến thức kinh nghiệm thựctế nên đề tài nhóm em khơng tránh khỏi thiếu xót khuyếtđiểm.Nhómthựchiệnđềtàirấtmongnhậnđượcsựđánhgiámnhậnxéttừ cácthầycơđểchúngemcóthểhồnthiệnmộtcáchtốtnhất,rútrakinhnghiệmtrong nghiêncứuvà trongcơngviệcsaunày Chúngemxinchânthànhcảmơn! CHƯƠNG1:CƠSỞLÝTHUYẾT 1.1) GiớithiệuvềOracle Các doanh nghiệp công ty lớn có lượng thơng tin kháchhàng ngày lớn thường xun, q trình quản lý việc xử lýthơng tin vấn đề phức tạp mà tổ chức cần phảichútrong.Ngàynaycórấtnhiềuchươngtrìnhứngdụnggiúptaquảnlývàlư utrữthơngtindễdàng,trongđócóthểkểđếnOracle,làmộttrong chương trình ứng dụng, có chế bảo mật liệu rấtchặt chẽ giúp cho hệ thống hoạt động tốt an toàn việccập nhật truy cập liệu, tránh việc mát liệu, dễ dàngbảo trì nâng cấp, có chế quyền hạn rõ ràng sửdụng nhiều tổ chức lớn ngân hàng, phủ, … Oracle dễ nângcấp lên phiên mới, thuận lợi cho lập trình viên viết cácTrigger, Package Oracle cịn tích hợp thêm PL/SQL mộtngơn ngữ lập trình có cấu trúc điểm mạnh Oracle sovớicácCSDLkhác.Oracletương tácvớinhiềuhệđiềuhànhnhưWindows,Linux OraclelàbộgiảiphápđượccungcấpbởicơngtyOracle–Đâylàmộthệquảntrị CSDLcótínhbảomậtcao,hỗtrợtốtcácmơhìnhtruycậpdữliệutậptrungcũngnhưphântán.GiảiphápcủaOracle baogồm: - HệquảntrịCSDLOracleDatabaseđượccàiđặttrênmáychủDat abaseServer - Oracle Client cài đặt máy trạm cho phép ứngdụngtạimáytrạmtruycậpvàthaotácvớiứngdụngtạimáychủ - Côngcụchoviệcthiếtkế vàquảntrịCSDLnhưOracleDesigner, SQLPlus - PL/SQLlàngônngữthủtụcchođược Oracledùngđểxâydựngđốitượngtrong Oracle Database - 1.2) QuátrìnhcàiđặtOracle - Tảivề filecàiđặtở trangchủoracle Hình1:Tảivềfilecàiđặt - Giảinénfiletảivề Hình2:Giảinénfilecàiđặt - Chạychươngtrìnhsetup.exe Hình3:Chạyfilecàiđặt - Bước1:Đăngnhậporacle Hình4:Bước1-Đăngnhậporacle - Bước2:Càiđặtphầnmềmvàtạoln1databasecótênlàdb12c Hình5:Bước2-Càiđặtlựa chọn - Bước3:Càiđặtserver Hình6:Bước3-Càiđặtserver ... TấncôngRootkit Oracle 17 1.3.4) TấncôngOracleListener .17 1.3.5) SâuOracle 17 CHƯƠNG2:TÌMHIỂUVỀTẤNCƠNGLEOTHANGĐẶCQUYỀN (PRIVILEGE ESCALATION)TRÊN ORACLEVÀTHỰC NGHIỆM ... PHỦHỌCVIỆNKỸTHUẬTMẬTM Ã ĐỀTÀI TÌMHIỂUVỀTẤNCƠNGLEOTHANGĐẶCQU YỀN(PRIVILEGEESCALATION)TRÊNORACLEVÀ THỰC NGHIỆM Giảngviênhướngdẫn:Si TS.TrầnThịLượng nhviênthựchiện: Hứa Thị Thu Hiền – AT13DTrầnMinhHiếu–AT13DLê CôngThảo–AT13D... nhạy cảm, thực tất cảcác công việc để gây mát tài phá hoại danh tiếng củatổ chức doanh nghiệp Bản báo cáo nhóm chúng em xin trình bày về? ?ềtàitấn cơngleo thang? ?ặcquyềnvàocơsởdữ liệuOracle Do cịn