安华金和|数据将安身何处？，100+数据库漏洞再创新高( 二 ) 近日

独家研发·验证工具

文章图片
DBSecLabs通过整合自身对数据库漏洞及数据库攻击技术的全部研究成果，独家设计研发出一套专业、高效、可靠的数据库漏洞验证工具——支持多种主流数据库类型、20+数据库版本以及100+漏洞的验证；漏洞类型更涵盖算法破解、监听劫持、缓冲区溢出、sql注入、静态注入、符号链接、反序列化等；并支持渗透模块与脚本免杀。此外，该款漏洞验证工具还具备以下五点优势：
1、自动快速识别数据库服务
不同于“遍历数据库协议”的传统数据库识别方式，安华金和数据库验证工具采用更加高效的数据库服务发现方法，可快速精准地发现网络内存活的数据库服务。
2、全面的数据库脆弱点检查
一般的数据库脆弱点检查是从已有数据库漏洞或数据库版本信息上进行的，这种检查方式并不全面；而安华金和数据库验证工具可根据数据库漏洞的基本成因，设计出全方位的脆弱点检查方向，覆盖数据库所有可能产生漏洞的安全因素，从操作系统、数据库配置、数据库使用三方位对数据库的脆弱点进行全面检查。
3、多层次、多维度立体攻击
为达到理想的渗透攻击效果，安华金和数据库漏洞验证工具采用从“多个层次和多个维度”进行渗透攻击的方式——其中多个层次指的是网络层、数据库层、操作系统层；多个维度指的是在不同层面，利用算法破解、监听劫持、缓冲区溢出、越权访问、SQL注入、静态注入、符号链提取、越权渗透、越权覆盖等多种类型的数据库漏洞进行渗透。
4、自动化、智能化渗透攻击
渗透攻击是一个复杂的过程，需要根据目标数据库和环境的特点，针对性地利用适合的安全漏洞和攻击脚本进行渗透攻击。安华金和数据库漏洞验证工具能够自动根据目标数据库的操作系统类型/版本以及数据库类型/版本，通过内建的漏洞攻击策略，智能地选择相匹配的渗透攻击脚本对数据库进行渗透攻击；同时，攻击完成后会根据渗透结果自动进行攻击效果检测，并根据攻击效果智能选择信息收集shell进行信息收集等后攻击操作，整个过程无需人工干预。
5、提供数据库专有攻击方法
安华金和数据库验证工具提供的“数据库专有攻击方式”有别于传统的软件攻击方式，是只有在数据库领域才能达成攻击效果的攻击方式；其中包含索引注入攻击、触发器注入攻击、辅助函数注入攻击、游标注入攻击等等。这些专有攻击方式涉及数据库对象、数据库事务类型、数据库权限、数据格式等数据库专业领域的相关数据处理能力。
【安华金和|数据将安身何处？，100+数据库漏洞再创新高】DBSecLabs的研究工作并未止步于向数据库厂商提交漏洞，而是基于所发现的问题设计出针对数据库安全设计框架的改进方案——根据对国际主流数据库厂商相关防护技术的深入研究，通过对各类方案的利弊分析，自主创新并提出具备国际水平、业内独家的数据库安全加固解决方案，更好地帮助国内数据库厂商和广大数据库用户构建有针对性的防护体系，满足不同的数据库安全防护需求，为中国数据库及数据安全建设发展提供有力支撑，让数据使用自由而安全！