网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

系统缺乏灵活性。客户机/服务器需要对每一应用独立地开发应用程序，消费了大量的资源，且"胖"客户机的计算模式仍然满足不了日益增长的应用需要。

1.5.3三层数据库应用系统

把数据库应用系统分为逻辑上相对独立的三层，数据库系统的功能分别由三层实现：

数据层负责数据管理和事务处理两个功能。主要由一个或多个数据库管理系统实现。

功能层由客户机中负责业务规则处理的代码分离而来，用一个专门的应用服务器支持，负责业务逻辑功能。改变业务处理规则时，不对表示层产生影响。

表示层仍配置在客户机中 ，实现用户与应用间的对话，如检查用户从键盘等输入的数据，显示应用输出的数据，提供表达逻辑功能。变更用户接口时，只需改写显示控制和数据检查程序，不影响其他两层。检查的内容也只限于数据的形式和值的范围,不包括有关业务本身的处理逻辑。

优点 ：

系统灵活性高。把三个层次分别放在各自不同的硬件（计算机）系统上能够适应客户机数目的增加和处理负荷的变动。

降低了系统分析设计的难度，能够使系统结构清晰、分工明确，又利用后期的维护和升级。

缺点：

降低了系统的性能。

增加了系统实现的难度。

组件的生命周期管理，安全管理，多用户访问的事务管理，组件之间的连接和通信，应用的可靠性和可伸缩性。

2.1 常见数据库漏洞

1. 部署问题

数据库陷入危机最普遍的原因就是在开发过程中的。有些公司会意识到优化搜索引擎对其业务获得成功的重要性，但是只有对数据库进行排序的前提下，SEO 才能成功对其优化。尽管功能性测试对性能有一定的保证，但测试并不能预料数据库会发生的一切。因此，在进行完全部署之前，对数据库的利弊进行全面的检查是非常重要的。

2. 离线服务器数据泄露

公司数据库可能会托管在不接入互联网的服务器上，但这并不意味着对基于互联网的威胁完全免疫。无论有没有互联网连接，数据库都有可供黑客切入的网络接口。

3. 错误配置的数据库

有太多太多的数据库都是被老旧未补的漏洞或默认账户配置参数出卖的。个中原因可能是管理员手头工作太多忙不过来，或者因为业务关键系统实在承受不住停机检查数据库的损失。无论原因为何，结果就是这么令人唏嘘。

4. SQL注入

SQL注入不仅仅是最常见的数据库漏洞，还是开放网页应用安全计划(OWASP)应用安全威胁列表上的头号威胁。该漏洞可使攻击者将SQL查询注入到数据库中，达成读取敏感数据、修改数据、执行管理操作乃至向操作系统发出指令等目的。

5. 权限问题

涉及访问权限，数据库面临两大主要问题：

· 员工被赋予超出工作所需的过多权限；

· 合法权限被未授权或恶意使用。

6. 存档数据

与上一条相关，无论出于报复还是利益，员工通过盗取数据库备份获得大量个人资料的事屡见不鲜。

2.2 常见的数据库攻击手段

1.对弱口令或默认用户名/口令的破解

以前的Oracle数据库有一个默认的用户名：Scott及默认的口令：tiger;而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。

当然这些默认的登录对于黑客来说尤其方便，借此他们可以轻松地进入数据库。

Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来，它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。

Forrester的Yuhanna说，问题是企业拥有15000个数据库，而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全，其它的就不太安全了。现在，较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。

但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Markovich 说，你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。

口令破解工具有很多，并且通过Google搜索或sectools.org等站点就可以轻易地获得,这样就会连接到Cain 、 Abel或John the Ripper等流行的工具。

2.特权提升