數(shù)據(jù)庫安全評估方法
【專利摘要】本發(fā)明涉及一種數(shù)據(jù)庫安全評估方法����,屬于數(shù)據(jù)庫安全【技術(shù)領(lǐng)域】。該方法中包括以下幾個模塊:(1)信息收集模塊�����;(2)審計模塊����;(3)滲透測試模塊���;(4)痕跡處理模塊��;(5)評估模塊��;(6)系統(tǒng)控制模塊�����。該模塊采用可編程控制器實現(xiàn)��,與其余模塊相連接,控制各個模塊的運作和數(shù)據(jù)傳輸���。本發(fā)明針對一些商用漏洞掃描工具在實際應(yīng)用中存在隱藏測試結(jié)果的問題����,可以提供具有可靠性和安全性的數(shù)據(jù)庫安全評估報告,并強調(diào)數(shù)據(jù)庫當前存在的漏洞風險等級�,直觀地讓數(shù)據(jù)庫管理員了解數(shù)據(jù)庫當前面臨的安全問題,完善了安全策略�,降低了安全風險。
【專利說明】數(shù)據(jù)庫安全評估方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種數(shù)據(jù)庫安全評估方法,利用掃描到的數(shù)據(jù)庫漏洞對其進行模擬攻擊�����,提供具有安全性和可靠性的評估報告�����,屬于數(shù)據(jù)庫安全【技術(shù)領(lǐng)域】�����。
【背景技術(shù)】
[0002]隨著數(shù)據(jù)庫應(yīng)用的逐漸廣泛�,數(shù)據(jù)庫安全問題備受關(guān)注?�,F(xiàn)如今,數(shù)據(jù)庫通常存在的漏洞有口令復雜度低���、低安全設(shè)置級別����、啟動不必要的數(shù)據(jù)庫功能�、數(shù)據(jù)泄露、緩沖區(qū)溢出等����。這些安全漏洞和不恰當配置通常會帶來嚴重的后果。
[0003]由于現(xiàn)階段缺乏數(shù)據(jù)庫安全評估工具���,漏洞風險等級不斷提升���,數(shù)據(jù)庫管理員無法及時發(fā)現(xiàn)數(shù)據(jù)庫面臨的安全問題。滲透測試完全模擬黑客的入侵和攻擊手段�����,利用數(shù)據(jù)庫存在的安全漏洞��,在可控制和非破壞性的范圍之內(nèi)�,對數(shù)據(jù)庫進行模擬攻擊��,能夠讓管理員直觀地知道數(shù)據(jù)庫存在的安全漏洞��。
[0004]一般常用的數(shù)據(jù)庫滲透測試工具有DSQLTools (SQL注入工具)�、nbsi3.0 (MSS-QL注入工具)��、mysqlweak(Mysql數(shù)據(jù)庫弱口令掃描器)��、pangolin(數(shù)據(jù)庫注入工具)�����、db2utils (DB2 漏洞利用工具)�����、oscanner (Oracle 掃描工具)����、oracIe_chec-kpwd_big (Oracle弱口令猜解工具)等,但這些商用的漏洞掃描工具在實際應(yīng)用中存在隱藏測試結(jié)果的問題����,若無法對某種漏洞進行測試,無法了解存在漏洞的風險等級���,數(shù)據(jù)庫管理員會誤以為數(shù)據(jù)庫是安全的�,可實際上卻存在安全隱患����。所以,提供具有可靠性和安全性的評估報告和漏洞風險等級是保證數(shù)據(jù)庫管理員及時了解數(shù)據(jù)庫是否安全的必要基礎(chǔ)�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于利用掃描到的數(shù)據(jù)庫漏洞對其進行非破壞性質(zhì)的滲透測試�����,提供最具有安全性和可靠性的評估報告����,強調(diào)數(shù)據(jù)庫當前存在的漏洞風險等級,及時提醒數(shù)據(jù)庫管理員完善安全策略��,降低安全風險��。
[0006]為了實現(xiàn)上述目的���,本發(fā)明的技術(shù)方案如下����。
[0007]一種數(shù)據(jù)庫安全評估方法,包括以下幾個模塊:
(I)信息收集模塊:主要對目標任務(wù)軟硬件環(huán)境��、用戶設(shè)置���、拓撲情況�、應(yīng)用情況有一個基本的了解���,為更深入地進行滲透測試提供資料����,可以有針對性地制定出滲透測試方案���;利用信息收集模塊收集數(shù)據(jù)庫端口掃描�����,賬號掃描�����,口令���、權(quán)限結(jié)構(gòu)���、版本信息�、配置選項等基本信息。通過信息收集�,可以基本確定一個數(shù)據(jù)庫的基本信息和它可能存在以及被利用的安全弱點或易被猜解的口令,為進行深層次的滲透提供依據(jù)���。
[0008](2)審計模塊:對數(shù)據(jù)庫進行審計工作,精確地監(jiān)控所有訪問及操作請求�����;數(shù)據(jù)庫審計模塊實時監(jiān)控數(shù)據(jù)庫活動�����,將網(wǎng)絡(luò)與網(wǎng)關(guān)相連��,監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包����,讀取包體信息�����,將包體信息連同捕獲的接收時間、發(fā)送端IP和接收端IP�����、庫���、表�����、函數(shù)等重要信息字段連同SQL操作命令保存至對應(yīng)的數(shù)據(jù)庫表中���,同時記錄這些SQL操作是否成功。
[0009](3)滲透測試模塊:模擬黑客使用的攻擊技術(shù)��,針對分析出的數(shù)據(jù)庫漏洞進行深入的探測���,讓管理員知道數(shù)據(jù)庫最脆弱的環(huán)節(jié)�����;進行滲透測試的數(shù)據(jù)庫應(yīng)用系統(tǒng)為MS-SQL��、Oracle> MySQL>Informix���、Sybase�、DB2�����、Access 等���。
[0010]其中,滲透測試模塊包括以下步驟:
步驟一:利用掃描或嗅探技術(shù)對目標任務(wù)進行測試����,若識別出口令為空,則利用SQLTools工具或手工方式對數(shù)據(jù)庫進行違規(guī)操作�;若識別出口令為弱,則使用暴力攻擊��,不斷輸入枚舉的用戶名和密碼組合����,直到可以登錄為止,獲得口令�����,進而利用SQL Tools工具或手工方式對數(shù)據(jù)庫進行違規(guī)操作。
[0011]數(shù)據(jù)庫的違規(guī)操作方法包括:
①訪問不可能存在的文件或數(shù)據(jù)���;
②竊取無訪問權(quán)限的數(shù)據(jù)��,破壞數(shù)據(jù)庫的數(shù)據(jù)完整性�����;
③實用暴力攻擊獲取數(shù)據(jù)庫的訪問權(quán)限��,獲得控制權(quán)�����;
④增加SQL賬戶或執(zhí)行DOS命令����。
[0012]步驟二:若識別不出空/弱口令�����,則掃描目標任務(wù)看其是否存在安全漏洞,若存在安全漏洞���,則利用漏洞進行滲透測試�����,其中主要的漏洞類型包括:
(3a)權(quán)限漏洞:
①權(quán)限提升漏洞�����。在內(nèi)置函數(shù)�����、SQL操作指令中找到安全漏洞,利用漏洞將普通用戶的權(quán)限提升為管理員權(quán)限��,進而可以獲取數(shù)據(jù)庫資料���,惡意篡改數(shù)據(jù)等���。
[0013]②隨意授予權(quán)限漏洞。利用用戶的普通權(quán)限對數(shù)據(jù)庫執(zhí)行自身權(quán)限以外的操作����。
[0014](3b)安裝漏洞:
①安全設(shè)置級別低�����。
[0015]②啟動不必要的數(shù)據(jù)庫功能��。
[0016](3c)產(chǎn)品漏洞:
①拒絕服務(wù)攻擊漏洞�。向目標任務(wù)發(fā)送少量數(shù)據(jù)導致其資源被大幅占用�����,從而拒絕服務(wù)����。
[0017]②緩沖區(qū)溢出漏洞:向有限空間的緩沖區(qū)拷貝一個過長的字符串,可導致程序癱瘓�����,造成宕機�����、重啟����;或者運行惡意代碼����,執(zhí)行任意指令���,獲得權(quán)限����。
[0018](4)���、痕跡處理模塊����。清除攻擊痕跡�����,包括清除應(yīng)用程序日志��、安全日志�����、系統(tǒng)日志����;
(5)、評估模塊���。根據(jù)攻擊結(jié)果����,對數(shù)據(jù)庫的安全性進行評估,并生成報告����。
[0019]攻擊服務(wù)器根據(jù)滲透測試攻擊結(jié)果的反饋信息,對目標任務(wù)是否存在漏洞以及漏洞風險等級多大以文本形式輸出�����,將此文本信息傳輸給目標任務(wù)服務(wù)器����。評估報告中的漏洞風險等級從低到高可做以下劃分:
一級:掃描無漏洞,但這并不代表數(shù)據(jù)庫無漏洞風險���;
二級:危害級別輕微的漏洞����,例如數(shù)據(jù)庫安全漏洞�����,此類漏洞比較不容易構(gòu)成嚴重后
果;
三級:危害級別較小的漏洞����,例如可獲取非機密性質(zhì)的文件資料,但不造成嚴重數(shù)據(jù)泄
露���;
四級:危害級別一般的漏洞�����,例如拒絕服務(wù)攻擊漏洞���、隨意授予權(quán)限漏洞、空/弱口令漏洞等�; 五級:危害級別嚴重的漏洞�,例如緩沖區(qū)溢出漏洞�����、權(quán)限提升漏洞����、數(shù)據(jù)嚴重泄露和篡改。
[0020](6)系統(tǒng)控制模塊�����。該模塊采用可編程控制器實現(xiàn)�����,與其余模塊相連接����,控制各個模塊的運作和數(shù)據(jù)傳輸。
[0021]該發(fā)明的有益效果在于:本發(fā)明針對一些商用漏洞掃描工具在實際應(yīng)用中存在隱藏測試結(jié)果的問題�����,可以提供具有可靠性和安全性的數(shù)據(jù)庫安全評估報告��,并強調(diào)數(shù)據(jù)庫當前存在的漏洞風險等級,直觀地讓數(shù)據(jù)庫管理員了解數(shù)據(jù)庫當前面臨的安全問題�,完善了安全策略����,降低了安全風險。
【專利附圖】
【附圖說明】
[0022]圖1為本發(fā)明實施例中的功能模塊連接圖�;
圖2為本發(fā)明實施例中信息收集模塊的技術(shù)示意圖;
圖3為本發(fā)明實施例中滲透測試模塊實施流程圖。
【具體實施方式】
[0023]下面結(jié)合實施例進一步闡述該發(fā)明的【具體實施方式】。
實施例
[0024]如圖1所示的數(shù)據(jù)庫安全評估方法包括信息收集和分析模塊、審計模塊�、滲透測試模塊、痕跡處理模塊、評估模塊和系統(tǒng)控制模塊�。系統(tǒng)控制模塊采用可編程控制器實現(xiàn)�,與其余各模塊相連接���,控制各個模塊的運作和數(shù)據(jù)傳輸�。
[0025]本實施例中,數(shù)據(jù)庫安全評估方法分為以下幾個實施步驟:
步驟一:對目標任務(wù)進行信息收集�����,對目標任務(wù)軟硬件環(huán)境����、用戶設(shè)置��、拓撲情況����、應(yīng)用情況有一個基本的了解����,為更深入地進行滲透測試提供資料����,可以有針對性地制定出滲透測試方案�����;
如圖2所示,信息收集采用攻擊服務(wù)器與遠程目標任務(wù)的數(shù)據(jù)庫進行數(shù)據(jù)同步的方法���。當啟動信息收集應(yīng)用程序時��,即當攻擊服務(wù)器要接收目標任務(wù)的數(shù)據(jù)庫信息時����,該服務(wù)器向目標任務(wù)的服務(wù)器端發(fā)出HTTP請求���,目標任務(wù)的服務(wù)器與數(shù)據(jù)庫連接���,執(zhí)行SQL請求�����。接著數(shù)據(jù)被傳送到攻擊服務(wù)器中,復制到攻擊服務(wù)器所連接的數(shù)據(jù)庫中。
[0026]利用信息收集模塊收集數(shù)據(jù)庫端口掃描���,賬號掃描,口令��、權(quán)限結(jié)構(gòu)��、版本信息��、配置選項等基本信息��。通過信息收集�,可以基本確定一個數(shù)據(jù)庫的基本信息和它可能存在以及被利用的安全弱點或易被猜解的口令�,為進行深層次的滲透提供依據(jù)。
[0027]步驟二:通過弱點對數(shù)據(jù)庫進行審計工作��,精確地監(jiān)控所有訪問及操作請求;數(shù)據(jù)庫審計模塊實時監(jiān)控數(shù)據(jù)庫活動�����,將網(wǎng)絡(luò)與網(wǎng)關(guān)相連�,監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,讀取包體信息����,將包體信息連同捕獲的接收時間、發(fā)送端IP和接收端IP�����、庫���、表��、函數(shù)等重要信息字段連同SQL操作命令保存至對應(yīng)的數(shù)據(jù)庫表中�,同時記錄這些SQL操作是否成功���。
[0028]步驟三:模擬黑客使用的攻擊技術(shù)�,針對分析出的數(shù)據(jù)庫漏洞進行滲透測試��,讓數(shù)據(jù)庫管理員知道數(shù)據(jù)庫最脆弱的環(huán)節(jié);進行滲透測試的數(shù)據(jù)庫應(yīng)用系統(tǒng)為MS-SQL����、Oracle、MySQL>Informix��、Sybase����、DB2、Access 等�。[0029]如圖3所示,滲透測試模塊包括以下步驟:
(I)利用掃描或嗅探技術(shù)對目標任務(wù)進行測試��,若識別出口令為空��,則利用SQL Tools工具或手工方式對數(shù)據(jù)庫進行違規(guī)操作����;若識別出口令為弱��,則使用暴力攻擊����,不斷輸入枚舉的用戶名和密碼組合���,直到可以登錄為止,獲得口令�����,進而利用SQL Tools工具或手工方式對數(shù)據(jù)庫進行違規(guī)操作���。
[0030]數(shù)據(jù)庫的違規(guī)操作方法包括:
①訪問不可能存在的文件或數(shù)據(jù)���;
②竊取無訪問權(quán)限的數(shù)據(jù),破壞數(shù)據(jù)庫的數(shù)據(jù)完整性�;
③實用暴力攻擊獲取數(shù)據(jù)庫的訪問權(quán)限,獲得控制權(quán)�;
④增加SQL賬戶或執(zhí)行DOS命令。
[0031](2)若識別不出空/弱口令���,則掃描目標任務(wù)看其是否存在安全漏洞��,若存在安全漏洞����,則利用漏洞進行滲透測試,其中主要的漏洞類型包括:
(2a)權(quán)限漏洞:
①權(quán)限提升漏洞�。在內(nèi)置函數(shù)、SQL操作指令中找到安全漏洞���,利用漏洞將普通用戶的權(quán)限提升為管理員權(quán)限��,進而可以獲取數(shù)據(jù)庫資料���,惡意篡改數(shù)據(jù)等。
[0032]②隨意授予權(quán)限漏洞�����。利用用戶的普通權(quán)限對數(shù)據(jù)庫執(zhí)行自身權(quán)限以外的操作�。
[0033](2b)安裝漏洞:
①安全設(shè)置級別低。
[0034]②啟動不必要的數(shù)據(jù)庫功能���。
[0035](2c)產(chǎn)品漏洞:
①拒絕服務(wù)攻擊漏洞��。向目標任務(wù)發(fā)送少量數(shù)據(jù)導致其資源被大幅占用�,從而拒絕服務(wù)���。②緩沖區(qū)溢出漏洞:向有限空間的緩沖區(qū)拷貝一個過長的字符串,可導致程序癱瘓,造成宕機���、重啟�;或者運行惡意代碼����,執(zhí)行任意指令,獲得權(quán)限�。
[0036]步驟四:清除攻擊痕跡,包括清除應(yīng)用程序日志����、安全日志、系統(tǒng)日志�����;
痕跡清除模塊采用clearlog.exe工具,方法為:
(I)清除目標任務(wù)應(yīng)用程序日志為clearlogs \ip _app ; (2)清除目標任務(wù)安全日志為 clearlogs \ip -sec �; (3)清除目標任務(wù)系統(tǒng)日志為 clearlogs \ip —sys。
[0037]步驟五:根據(jù)攻擊結(jié)果���,對數(shù)據(jù)庫的安全性進行評估���,并生成報告。
[0038]攻擊服務(wù)器根據(jù)滲透測試攻擊結(jié)果的反饋信息,對目標任務(wù)是否存在漏洞以及漏洞風險等級多大以文本形式輸出�,將此文本信息傳輸給目標任務(wù)服務(wù)器。其中�����,評估報告中的漏洞風險等級從低到高可做以下劃分:
一級:掃描無漏洞��,但這并不代表數(shù)據(jù)庫無漏洞風險�;
二級:危害級別輕微的漏洞,例如數(shù)據(jù)庫安全漏洞���,此類漏洞比較不容易構(gòu)成嚴重后
果;
三級:危害級別較小的漏洞���,例如可獲取非機密性質(zhì)的文件資料,但不造成嚴重數(shù)據(jù)泄
露��;
四級:危害級別一般的漏洞����,例如拒絕服務(wù)攻擊漏洞、隨意授予權(quán)限漏洞����、空/弱口令漏洞等�;
五級:危害級別嚴重的漏洞���,例如緩沖區(qū)溢出漏洞、權(quán)限提升漏洞�、數(shù)據(jù)嚴重泄露和篡改。
[0039]以上所述是本發(fā)明的優(yōu)選實施方式�,應(yīng)當指出,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾�,這些改進和潤飾也視為本發(fā)明的保護范圍。
【權(quán)利要求】
1.一種數(shù)據(jù)庫安全評估方法�,其特征在于:包括以下幾個模塊: (1)信息收集和分析模塊:對目標任務(wù)軟硬件環(huán)境、用戶設(shè)置�����、拓撲情況���、應(yīng)用情況有一個基本的了解���,分析數(shù)據(jù)庫存在的弱點����,為更深入地進行滲透測試提供資料���,可以有針對性地制定出滲透測試方案�; (2)審計模塊:通過弱點對數(shù)據(jù)庫進行審計工作��,精確地監(jiān)控所有訪問及操作請求�; (3)滲透測試模塊:模擬黑客使用的攻擊技術(shù),針對分析出的數(shù)據(jù)庫漏洞進行深入的探測�����,讓管理員知道數(shù)據(jù)庫最脆弱的環(huán)節(jié)�����; (4)痕跡處理模塊:清除攻擊痕跡��,包括清除應(yīng)用程序日志����、安全日志、系統(tǒng)日志���; (5)評估模塊:根據(jù)攻擊結(jié)果�����,對數(shù)據(jù)庫的安全性進行評估��,并生成報告�; (6)系統(tǒng)控制模塊:該模塊采用可編程控制器實現(xiàn)����,與其余模塊相連接,控制各個模塊的運作和數(shù)據(jù)傳輸��。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫安全評估方法�,其特征在于:所述信息收集模塊用于收集數(shù)據(jù)庫端口掃描,賬號掃描����,口令、權(quán)限結(jié)構(gòu)�����、版本信息�、配置選項等基本信息�����,以基本確定一個數(shù)據(jù)庫的基本信息和它可能存在以及被利用的安全弱點或易被猜解的口令����,為進行深層次的滲透提供依據(jù)�;信息收集采用攻擊服務(wù)器與遠程目標任務(wù)的數(shù)據(jù)庫進行數(shù)據(jù)同步的方法;當啟動信息收集應(yīng)用程序時�,即當攻擊服務(wù)器要接收目標任務(wù)的數(shù)據(jù)庫信息時,該服務(wù)器向目標任務(wù)的服務(wù)器端發(fā)出HTTP請求�,目標任務(wù)的服務(wù)器與數(shù)據(jù)庫連接,執(zhí)行SQL請求��,接著數(shù)據(jù)被傳送到攻擊 服務(wù)器中��,復制到攻擊服務(wù)器所連接的數(shù)據(jù)庫中�。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫安全評估方法,其特征在于:所述數(shù)據(jù)庫審計模塊實時監(jiān)控數(shù)據(jù)庫活動��,將網(wǎng)絡(luò)與網(wǎng)關(guān)相連����,監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,讀取包體信息�,將包體信息連同捕獲的接收時間�����、發(fā)送端IP和接收端IP��、庫�����、表、函數(shù)等重要信息字段連同SQL操作命令保存至對應(yīng)的數(shù)據(jù)庫表中��,同時記錄這些SQL操作是否成功����。
4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫安全評估方法,其特征在于:所述滲透測試模塊包括以下步驟: 步驟一:利用掃描或嗅探技術(shù)對目標任務(wù)進行測試�,若識別出口令為空,則利用攻擊工具或手工攻擊方式對數(shù)據(jù)庫進行違規(guī)操作�;若識別出口令為弱,則使用暴力攻擊�����,不斷輸入枚舉的用戶名和密碼組合�,直到可以登錄為止�����,獲得口令�,進而利用攻擊工具或手工攻擊方式對數(shù)據(jù)庫進行違規(guī)操作��; 步驟二:若識別不出空/弱口令����,則掃描目標任務(wù)看其是否存在安全漏洞,若存在安全漏洞�����,則利用漏洞進行滲透測試����,其中主要的漏洞類型包括: (1)權(quán)限漏洞:包括:①權(quán)限提升漏洞:在內(nèi)置函數(shù)、SQL操作指令中找到安全漏洞����,利用漏洞將普通用戶的權(quán)限提升為管理員權(quán)限,進而可以獲取數(shù)據(jù)庫資料��,惡意篡改數(shù)據(jù)等;②隨意授予權(quán)限漏洞:利用用戶的普通權(quán)限對數(shù)據(jù)庫執(zhí)行自身權(quán)限以外的操作�; (2)安裝漏洞:包括:①安全設(shè)置級別低;②啟動不必要的數(shù)據(jù)庫功能���; (3)產(chǎn)品漏洞:包括:①拒絕服務(wù)攻擊漏洞:向目標任務(wù)發(fā)送少量數(shù)據(jù)導致其資源被大幅占用����,從而拒絕服務(wù)�;②緩沖區(qū)溢出漏洞:向有限空間的緩沖區(qū)拷貝一個過長的字符串,可導致程序癱瘓�,造成宕機、重啟���;或者運行惡意代碼�,執(zhí)行任意指令���,獲得權(quán)限。
5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫安全評估方法����,其特征在于:所述痕跡清除模塊采用clearlog.exe工具,具體方法為:(I)清除目標任務(wù)應(yīng)用程序日志為Clearlogs \ip _app ; (2)清除目標任務(wù)安全日志為 clearlogs \ip -sec ; (3)清除目標任務(wù)系統(tǒng)日志為 clearlogs \ip —sys�。
6.根據(jù)權(quán)利要求4所述的數(shù)據(jù)庫安全評估方法,其特征在于:所述步驟一中,對數(shù)據(jù)庫的違規(guī)操作方法包括:①訪問不可能存在的文件或數(shù)據(jù)���;②竊取無訪問權(quán)限的數(shù)據(jù)�����,破壞數(shù)據(jù)庫的數(shù)據(jù)完整性���;③實用暴力攻擊獲取數(shù)據(jù)庫的訪問權(quán)限,獲得控制權(quán)����;④增加SQL賬戶或執(zhí)行DOS命令。
7.根據(jù)權(quán)利要求4所述的數(shù)據(jù)庫安全評估方法����,其特征在于:所述步驟二中,滲透測試的數(shù)據(jù)庫應(yīng)用系統(tǒng)可以為 MS-SQL��、Oracle�、MySQL、Informix����、Sybase����、DB2�����、Access 中的一種��,根據(jù)攻擊結(jié)果�,對數(shù)據(jù)庫的安全性進行評估,生成報告���。
8.根據(jù)權(quán)利要求2所述的數(shù)據(jù)庫安全評估方法���,其特征在于:所述攻擊服務(wù)器根據(jù)滲透測試攻擊結(jié)果的反饋信息,對目標任務(wù)是否存在漏洞以及漏洞風險等級多大以文本形式輸出���,將此文本信息傳輸給目標任務(wù)服務(wù)器�����。
9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)庫安全評估方法,其特征在于:所述漏洞風險等級從低到高劃分為: 一級:掃描無漏洞���; 二級:危害級別輕微的漏洞���,例如數(shù)據(jù)庫安裝漏洞����,此類漏洞比較不容易構(gòu)成嚴重后果; 三級:危害級別較小的漏洞���,例如可獲取非機密性質(zhì)的文件資料����,但不造成嚴重數(shù)據(jù)泄露�����; 四級:危害級別一般的漏洞�����,例如拒絕服務(wù)攻擊漏洞�、隨意授予權(quán)限漏洞、空/弱口令漏洞等����; 五級:危害級別嚴重的漏洞����,例如緩沖區(qū)溢出漏洞���、權(quán)限提升漏洞��、數(shù)據(jù)嚴重泄露和篡改等����。
【文檔編號】G06F21/57GK103473381SQ201310475421
【公開日】2013年12月25日 申請日期:2013年10月13日 優(yōu)先權(quán)日:2013年10月13日
【發(fā)明者】陳志德, 吳紀蕓, 許力, 黃欣沂, 鄭金花 申請人:陳志德, 吳紀蕓, 許力, 黃欣沂, 鄭金花