MỤC LỤC Lời nói Đầu 2 Chương 1: Cơ sở lý thuyết 3 1.1Giới thiệu về Oracle 3 1.2 Quá trình cài đặt Oracle 4 Chương 2: Các hình thức tấn công phổ biến trên Oracle 9 2.1 Tấn công SQL Injection 9 2.1.1 Định nghĩa 9 2.1.2 Các dạng lỗi thường gặp 9 2.2 Tấn công chèn mã PLSQL 15 2.3 Tấn công Rootkit trong Oracle 17 2.3.1 Ẩn tải khoản Oracle Rootkit 17 2.3.2 Ẩn process 20 2.3.3 Ẩn Database Jobs 21 2.3.4 Mô tả tấn công Oracle sử dụng rootkit kết hợp với backdoor 21 2.4 Tấn công Oracle Listener 22 2.4.1 Khai thác thông tin CSDL Oracle qua Listener 22 2.4.2 Tấn công từ chối dịch vụ 25 2.5 Sâu Oracle 26 2.5.1 Sử dụng WORMFS với NFS Khách hàng 26 2.5.2 Tạo tập tin WORM 29 2.5.3 Thời gian lưu giữ 32 2.6 Tấn công mật khẩu 34 2.6.1 Tấn công dò tài khoản 34 2.6.2 Tấn công tài khoản có mật khẩu yếu 34 2.6.3 Dò mật khẩu SYS. SYSTEM 35 Chương 3: Tổng kết quá trình tìm hiểu tấn công trên CSDL Oracle 37 Tài liệu tham khảo 38 Lời nói Đầu Cơ sở dữ liệu là một trong những ngành được quan tâm nhiều trong khoa học máy tính nói chung và trong công nghệ thồn tin nói riêng. Từ khi có mô hình cơ sở dữ liệu đầu tiên vào những năm 60 đến nay, tuy không phải là chặng đường dài so với các ngành khoa học khác, nhưng với ngành khoa học máy tính và đặc biệt là cơ sở dữ liệu thì đó là thời gian đáng kể. Cơ sở dữ liệu đã trải qua nhiều thế hệ của hệ quản trị cơ sở dữ liệu đã có nhiều ứng dụng trong khoa học và các ngành kinh tế quốc dân. Hệ quản trị cơ sở dữ liệu ORACLE là một trong những hệ quản trị cơ sở dữ liệu lưu trữ thông tin an toàn và chắc chắn đồng thới lại truy cập chính xác, dễ dàng. Cơ sở dữ liệu (CSDL) của các tổ chức, doanh nghiệp luôn là mục tiêu của nhiều cuộc tấn công. Bởi đây là nơi lưu trữ các thông tin về khách hàng và nhiều dữ liệu bí mật khác. Một trong những nguyên nhân khiến cho các CSDL dễ bị tổn thương bởi các tấn công là do các tổ chức, doanh nghiệp chưa có biện pháp bảo vệ đầy đủ cho tài nguyên này. Khi kẻ xấu truy nhập vào dữ liệu nhạy cảm, có thể thực hiện tất cả các công việc để gây mất mát về tài chính hoặc phá hoại danh tiếng của tổ chức, doanh nghiệp. Và sau đây nhóm em xin trình bày đề tài các tấn công vào cơ sở dữ liệu ORACLE. Do còn hạn chế nhiều về thời gian, kiến thức và kinh nghiệm thực tế nên đề tài của nhóm không tránh khỏi những thiếu sót và khuyết điểm. Nhóm thực hiện đề tài rất mong nhận được sự đánh giá, nhận xét của các Thầy, các Cô và sự góp ý của các bạn sinh viên để giúp đề tài này được hoàn thiện hơn, từ đó nhóm chúng em có thể rút kinh nghiệm trong nghiên cứu và công việc sau này. Nhóm chúng em xin chân thành cảm ơn Chương 1: Cơ sở lý thuyết 1.1 Giới thiệu về Oracle Trong quá trình quản lý việc xử lý thông tin là vấn đề phức tạp vì lượng thông tin nhận được ngày một lớn và thường xuyên. Ngày nay có rất nhiều chương trình ứng dụng giúp ta quản lý và lưu trự thông tin dễ dàng. Trong đó có thể kể đến Oracle, là một trong những chương trình ứng dụng, nó có cơ chế bảo mật dữ liệu rất chặt chẽ giúp cho hệ thống hoạt động rất tốt và rất an toàn trong việc cập nhật và truy cập dữ liệu, tránh được việc mất mát dữ liệu, dễ dàng bảo trì và nâng cấp, có cơ chế quyền hạn rõ ràng vì vậy nó được sử dụng ở nhiều tổ chức lớn như ngân hàng, chính phủ…Nó không chỉ có lợi cho những nhà phát triển như dễ cài đặt, dễ triển khai, dễ nâng cấp lên phiên bản mới mà còn thuật lợi cho lập trình viên như viết các Trigger, Package vì trong Oracle còn tích hợp thêm PLSQL là một ngôn ngữ lập trình có cấu trúc ( Structure Language) và đây chính là điểm rất mạnh của Oracle so với các cơ sở dữ liệu khác. Ngoài ra Oracle còn tương tác tốt với nhiều hệ điều hành như Windows , Linux. Oracle là bộ giải pháp được cung cấp bởi công ty Oracle (http:www.oracle.comindex.html ) Đây là một hệ quản trị CSDL có tính bảo mật cao, hỗ trợ tốt các mô hình truy cập dữ liệu tập trung cũng như phân tán. Giải pháp của Oracle bao gồm các sản phẩm sau: Hệ quản trị CSDL Oracle Database được cài đặt trên máy chủ Database Server Oracle Client được cài đặt trên máy trạm cho phép các ứng dụng tại máy trạm truy cập và thao tác với ứng dụng tại máy chủ. Công cụ cho việc thiết kế và quản trị CSDL như Oracle Designer, SQL Plus. PLSQL là ngôn ngữ thủ tục cho được Oracle dùng để xây dựng đối tượng trong Oracle Database.