Oracle数据库Text组件SQL注入漏洞Oracle认证考试

文章作者 100test 发表时间 2009:11:11 16:39:26
来源 100Test.Com百考试题网


"mkhgigh">   受影响系统:
  Oracle Database 9.2.0.8DV Oracle Database 9.2.0.8 Oracle Database 10.2.0.4 Oracle Database 10.1.0.5
  描述:
  Oracle Database是一款商业性质大型数据库系统。
  Oracle数据库Text组件的ctxsys.drvxtabc.create_tables过程会取3个参数:
  idx_owner - varchar2
  idx_name - varchar2
  idxid - number
  其中idx_owner和idx_name参数可能导致SQL注入攻击。拥有CTXSYS.DRVXTABC执行权限的攻击者可以通过Oracle Net协议提交特制查询请求来利用这个漏洞,导致完全入侵数据库系统。源:www.examda.com
  测试方法:
  --------------------------------------------------------------------------------
  警告
  以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
  exec ctxsys.drvxtabc.create_tables(’SH"."SH2KERR" (X NUMBER)--’,’yyyyyyyyy’,2).
  建议:
  --------------------------------------------------------------------------------
  厂商补丁:
  Oracle
  ------
  Oracle已经为此发布了一个安全公告(cpuoct2009)以及相应补丁:
  cpuoct2009:Oracle Critical Patch Update Advisory - October 2009

  编辑特别推荐:

  oracle认证考试费用

  Oracle的入门心得

  使用Oracle外部表的五个限制

  Oracle服务器参数文件维护的四个技巧



相关文章


如何删除数据库中的冗余数据(2)Oracle认证考试
如何删除数据库中的冗余数据(1)Oracle认证考试
Oracle认证辅导:Oracle用户权限查询Oracle认证考试
Oracle数据库安全基础知识Oracle认证考试
Oracle数据库Text组件SQL注入漏洞Oracle认证考试
SQLServer:基于WEB的数据库查询Oracle认证考试
Merge在Oracle中的用法注意问题Oracle认证考试
OracleRAC之名词解惑Oracle认证考试
OracleRAC日常基本维护命令Oracle认证考试
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛