آسیب پذیری پایگاه داده اوراکل

اوراکل به منظور بهبود امنیت پایگاه داده، به تازگی ویژگی Data Redaction Security را به Oracle database 12c اضافه کرده بود. اما هکرها بدون انجام کار پیچیده ای از این سرویس عبور کردند.

Data Redactin یکی از ویژگی های امنیتی جدید است که در Oracle Database 12c معرفی شد. این سرویس به ادمین ها امکان می دهد تا به طور خودکار از داده های حساس مانند شماره های کارت اعتباری، محافظت کنند. Date Redaction هنگام اجرای پروسه های خاص با مخفی کردن کامل یا بخشی از آن ها امنیت لازم را فراهم می کند.

Data redaction ایده خوبی است، اما متاسفانه این ویژگی به راحتی توسط ساده ترین روش های هک دور زده می شود.محققان امنیتی پایگاه داده، روش های متعددی برای عبور از Data Redacion یافته اند.

یکی از این روش ها استفاده از “RETURNING INTO” بعد از پروسه DML است. “RETURNING INTO” اجازه می دهد تا داده ها به صورت variable بازگردانده شوند.

روش بعدی حمله Brute Force بر روی داده ها در پایگاه داده است. هکر می تواند با استفاده از SELECT  و WHERE به داده ها دست پیدا کند. این عمل باعث می شود تا هکر با استفاده از WHERE شروع به حدس زدن کند و داده مورد نظر را پیدا کند.

اوراکل این آسیب پذیری ها را وصله کرده است. ولی هنوز حفره های امنیتی دیگری وجود دارند که هنوز وصله نشده اند. محققان امنیتی به تازگی آسیب پذیری دیگری را یافته اند که به هکر اجازه می دهد، کنترل پایگاه داده را به دست بگیرد. هنوز این آسیب پذیری وصله نشده است.