Oracle-11g
Oracle DBLink 是否存在漏洞?
我們在 Internet 上有一個網頁,它呼叫位於我們 Intranet 上的 Web 服務。
Web 服務與數據庫 A 對話以獲取一些數據。
數據庫 A 有一個到數據庫 B 的 DBLink。此連結用於從數據庫 B 中選擇數據,但無論如何服務都不會使用它。
但是,我的老闆要求我刪除 DBLink 並使用替代方案,因為 DBLink 可能容易受到攻擊。
你對那個怎麼想的?我應該怎麼做才能避免這個漏洞?
Web 服務與數據庫 A 對話以獲取一些數據。
因此,應用程序應使用允許其訪問的憑據連接到 Oracle 數據庫
$$ only $$完成其工作所需的數據。
數據庫 A 有一個 DBLink … 用於從數據庫 B 中選擇數據,但無論如何服務都不會使用它。
因此,Web 服務使用的帳戶應該對此 DBLink 或通過該 DBLink可訪問的表/對象(在數據庫 B 中)沒有權限。
… 要求我刪除 … 因為 DBLink 可能容易受到攻擊。
它並不比任何其他對象更脆弱
$$ properly secured $$甲骨文數據庫。 當然,如果您的應用程序正在使用強大的憑據進行連接,並給予它比實際需要的*更多的訪問權限,那麼是的;*你可能有問題。
有疑問,測試一下。使用這些憑據手動登錄數據庫,看看你能看到什麼。