На страницах
журнала мы не
раз писали про
анализ MySQL и
MSSQL-серверов
на предмет
наличия
уязвимостей, да
и в Сети
информации на
эту тему - хоть
отбавляй. Но в
случае с Oracle
все не так
просто, ведь
найти надежный
инструмент для
поиска багов в
этой СУБД до
недавнего
времени было
проблемно.
Почему до
недавнего? Ответ
на вопрос
кроется в утиле
«ORACLE SECURITY
TOOLS», о
предназначении
которой нетрудно
догадаться по
названию. Тулза
позволяет
имитировать
проникновение в
СУБД, используя
при этом ряд
известных
уязвимостей и
сплойтов. Из
особенностей
можно выделить:
-
Повышение
привилегий
пользователя
Oracle - Проверка
валидности
дефолтных
паролей
Oracle -
Выполнение
PL/SQL кода -
Повышение
привилегий в
ОС Windows
2000/XP/2003
(добавить
локального
пользователя
с правами
администратора
и
возможностью
удаленного
подключения) -
Проникновение
в ОС и
выполнение
команд с
правами
администратора
системы
Чтобы
протестировать
Oracle, тебе
необходимо:
- Слить
утилу с
нашего
диска, либо
с офсайта (http://securetools.ru) -
Запустить
тулзу - Выбрать
версию СУБД
и сплойт - Указать
необходимые
для коннекта
данные
(логин,
пасс, etc) и
подключиться
к СУБД - При
необходимости
выполнения
PL/SQL-кода
вбиваем код
в
соответствующем
окошке и
жмем
«Выполнить»
Утила имеет
гуишный
интерфейс, так
что проблем с ее
эксплуатацией
возникнуть у
тебя не должно
:).
