Справка
x
Поиск
Закладки
Озвучить книгу
Изменить режим чтения
Изменить размер шрифта
Оглавление
Для озвучивания и цитирования книги перейдите в режим постраничного просмотра.
Безопасность Oracle глазами аудитора: нападение и защита
Часть II. Анализ защищенности СУБД Oracle изнутри
Предыдущая страница
Следующая страница
Table of contents
Благодарности
Предисловие от редактора
Введение
Часть I. Анализ защищенности СУБД Oracle снаружи
+
Часть II. Анализ защищенности СУБД Oracle изнутри
-
Глава 6. Повышение привилегий. Локальные уязвимости СУБД
6.1. PL/SQL-инъекции
6.1.1. Введение в PL/SQL
6.1.2. PL/SQL-инъекции
6.1.3. Blind SQL Injection
6.1.4. Внедрение PL/SQL-процедур
6.1.5. Анонимный PL/SQL-блок
6.1.6. Выполнение PL/SQL-команд напрямую
6.1.7. Cursor Injection
6.1.8. Защита с помощью DBMS_ASSERT и ее обход
6.1.9. История продолжается. Lateral SQL Injection
6.1.10. Заключение
6.2. Атаки на переполнение буфера
6.2.1. Анализ одной уязвимости
6.2.2. Написание POC-эксплоита к новой уязвимости
6.2.3. Выполнение произвольного кода на сервере
6.3. Фокусы с представлениями
6.3.1. Представления
6.3.2. Объединения
6.3.3. Первая уязвимость, связанная с обработкой объединений
6.3.4. Объединения + представления
6.3.5. История продолжается
6.4. Cursor snarfing
6.4.1. Стандартная атака
6.4.2. Продвинутая атака
6.5. Dll Patching
6.5.1. Модификация библиотеки
6.5.2. Посылка команд по сети
6.6. Прочие уязвимости
6.6.1. Примеры нестандартных уязвимостей из CPU July 2008
6.6.2. Примеры нестандартных уязвимостей из CPU April 2008
6.6.3. Примеры нестандартных уязвимостей из более ранних CPU
6.7. Поиск и эксплуатация уязвимостей
6.7.1. Поиск уязвимостей
6.7.2. Написание эксплоита
6.7.3. Системы обнаружения вторжений и методы их обхода
6.8. Заключение
6.9. Полезные ссылки
Глава 7. Вскрытие паролей
7.1. Хранение паролей
7.2. Алгоритм шифрования паролей
7.3. Подбор паролей
7.3.1. Подбор паролей по словарю
7.3.2. Подбор пароля методом грубого перебора (bruteforce)
7.3.3. Перебор с использованием Rainbow Tables
7.4. Oracle 11g и нововведения
7.4.1. Хранение паролей
7.4.2. Алгоритм шифрования паролей
7.5. Заключение
7.6. Полезные ссылки
Глава 8. Получение доступа к операционной системе
8.1. Выполнение команд ОС через СУБД
8.1.1. Выполнение команд ОС, используя внешние библиотеки
8.1.2. Выполнение команд ОС, используя JAVA-процедуры
8.1.3. Выполнение команд ОС, используя пакет DBMS_SCHEDULER
8.1.4. Выполнение команд ОС с помощью пакета Job Scheduler
8.1.5. Выполнение команд ОС путем модификации системных переменных Oracle
8.2. Доступ к файловой системе ОС через СУБД
8.2.1. Доступ к файловой системе через UTL_FILE-процедуры
8.2.2. Доступ к файловой системе через DBMS_LOB-процедуры
8.2.3. Доступ к файловой системе через JAVA-процедуры
8.2.4. Доступ к файловой системе через DBMS_ADVISOR-процедуры 235 8.3. Заключение
8.4. Полезные ссылки
Глава 9. Поэтапные способы повышения привилегий и другие атаки
9.1. Поэтапные способы повышения привилегий
9.1.1. Привилегия GRANT ANY [OBJECT] PRIVILEGE/ROLE
9.1.2. Привилегия SELECT ANY DICTIONARY
9.1.3. Привилегия SELECT ANY TABLE
9.1.4. Привилегия INSERT/UPDATE/DELETE ANY TABLE
9.1.5. Привилегия EXECUTE ANY PROCEDURE
9.1.6. Привилегия CREATE/ALTER ANY PROCEDURE
9.1.7. Привилегия ALTER SYSTEM
9.1.8. Привилегия ALTER USER
9.1.9. Привилегия ALTER SESSION
9.1.10. Привилегия ALTER PROFILE
9.1.11. Привилегия CREATE LIBRARY
9.1.12. Привилегия CREATE ANY DIRECTORY
9.1.13. Привилегия CREATE/ALTER ANY VIEW
9.1.14. Привилегия CREATE ANY TRIGGER
9.1.15. Привилегия CREATE ANY/EXTERNAL JOB
9.1.16. Роль JAVASYSPRIV
9.1.17. Роль SELECT_CATALOG_ROLE
9.2. Нестандартные способы повышения привилегий
9.2.1. Атака на Листенер при помощи пакета UTL_TCP
9.2.2. Поиск паролей и конфиденциальной информации
9.3. Заключение
9.4. Полезные ссылки
Глава 10. Закрепление прав в системе, руткиты для Oracle
10.1. СУБД и ОС
10.2. Руткиты первого поколения
10.2.1. Скрытие посторонних пользователей
10.2.2. Скрытие посторонних заданий (Jobs)
10.3. Руткиты второго поколения
10.3.1. Модификация исполняемых файлов
10.4. Заключение
10.5. Полезные ссылки
ЧАСТЬ III. Защита СУБД Oracle
+
Заключение
Соответствие СУБД Oracle требованиям PCI DSS
Приложение A. Применимость PCI DSS к хостинг-провайдерам
Приложение B. Компенсирующие меры
Данный блок поддерживает скрол*