标签： 数据库扫描

AiCheck数据安全评估系统 数据安全｜检查评估 ｜数据识别｜远程扫描｜流量监测 AiCheck数据安全评估系统（数据安全检查工具箱）是一款面向监管单位、三方测评机构、企事业单位开展数据安全风险检查、合规评估的支撑工具。工具箱基于丰富的合规知识库、全面的检查工具集，围绕数据采集、传输、存储、处理、交换、使用等环节，以及数据出境、转移等应用场景，快速、有效识别静态或流动中数据的潜在风险、违法违规事...

前不久，微软刚刚宣布联合 35 个国家摧毁了全球最大的僵尸网络之一 Necurs，最近，微软却被僵尸网络 Vollgar 盯上近两年。僵尸网络 Vollgar 入侵微软近两年，每天攻击近 3000个数据库。 近日，Guardicore Labs 团队发布了一份长期攻击活动的分析报告，此攻击活动主要针对运行 MS-SQL 服务的 Windows 系统。分析报告称，此攻击活动至少从 2018 年 5 ...

8月20日消息，安恒信息明鉴数据库弱点扫描器（DAS-DBScan）发布了新版本。新版本在功能上得到了很大提升，也更加注重用户的使用体验。

传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略，但这些方案在现实中变得弱不禁风，大量信息泄露事件频繁爆发。

所有数据库安全战略的最重要的步骤之一，同时也是最有可能被人遗忘的步骤之一，就是：列出企业管理的数据库。只有企业知道它有多少个数据库，哪个数据库包含敏感信息，企业才有可能基于风险来对这些数据库进行优先排序，并部署适当的控制。

在前面的文章中，游侠安全网已经给大家介绍了“数据库漏洞扫描系统”的“授权扫描”和“弱口令扫描”，今天我们来下针对MySQL和MS SQL Server的“非授权扫描”。

产品目标 以“等级保护”等法规为依据，针对主流数据库系统进行自动全面的检测监控，及时检测出数据库运行参数的异常和存在的软件漏洞、配置管理等风险，并提供预警和修复建议，从而保证数据库系统的可用性、机密性和完整性。 产品功能 数据库安全监控系统主要具有三大功能，即数据库状态监控、自身状态监控、安全扫描和基线管理。 1.数据库运行状态监控 Oracle监控：监控信息包括：监视器信息、连接时间、用户活动、...

McAfee Vulnerability Manager for Databases 能够自动发现网络中的数据库，确定是否应用了最新补丁，并测试是否存在常见漏洞（如密码过于简单、默认帐户和其他常见威胁）。McAfee Vulnerability Manager for Databases 可以针对知名的数据库系统（如 SQL Server、DB2 和 MySQL）执行 4500 多项漏洞检查。 严...

前面游侠给大家介绍了数据库漏洞扫描的一些知识，并发起了一次针对Oracle数据库的“授权扫描”，现在我们进行一次“弱口令扫描”，弱口令是数据库几乎最大的威胁，软件专列了“弱口令扫描”。

授权扫描的意思是：在对数据库进行漏洞扫描的过程中，要输入帐号、口令等信息，属于“数据库管理员授权”进行的“正规”扫描。因为会输入帐号信息，因此可扫描的项目比其它方式更多。

美国Verizon在最近就“核心数据是如何丢失的”做了一次全面的市场调查，结果发现，92%的数据丢失情况是由于数据库漏洞造成的，这说明数据库的安全非常重要。 企业核心信息的80%是以结构化信息，即数据形式存在的。数据作为企业核心资产，一旦发生非法访问、数据篡改、数据盗取，将给企业在信誉和经济上带来巨大损失。 常见的数据库安全风险扫描软件主要是检测数据库系统配置风险和数据库软件本身的安全漏洞，无法检...

　　全球唯一发现数据库潜藏木马的评估工具
　　
　　产品概述：
　　
　　安恒明鉴数据库弱点扫描器(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上，研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累，是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品，能够扫描几百种不当的数据库配置或者潜在漏洞，具有强大的

　　FortiDB 系列产品提供集中管理、企业级、数据库自动坚固等功能，它具有快速实施、支持行业和政府的各种法规的特点，可以评估企业数据库的安全弱点，提高企业数据库的安全性。DBA可以快速掌握这些工具，安装容易，界面直观，满足各种法规（PCI-DSS, SOX, GLBA, HIPAA）的要求，可以直接生成报告。为FortiDB专门设计的硬件设备可以方便快速的部署在网络中，自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库，通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分。设备预先内置了几百条策略，这些策略涵盖了企业和政府的规范、数据库安全的最优方法、已知的数据库漏洞、与数据库安全相关的操作系统问题和数据库访问权限等。一套全面的基于标准的图形报告功能内置于系统中，可以迅速产生报告。
...

DBScan是一个深度Web应用安全评估工具，能对各种复杂的Web应用进行弱点检测和评估；主要由深度扫描、配置审计和渗透测试三部分组成。

　　本文使用的是从某数据库安全厂家获取的数据库扫描系统，版本不是最新的，不过应该可以代表产品的设计思路和其在相关领域的技术实力。
　　数据库扫描的初期，一般都是确认评估范围，本产品也不例外。添加任务有两种方法：一是直接输入数据库的详细信息，二是对网络进行扫描，确认网内数据库的总量。

　　相对于网上Nessus、NMAP等评估工具，本款数据库扫描产品更像是一款安全测试工具，因为在对数据库进行安全评估的时候，不但要输入通用的IP、端口，更要输入数据库系统的账号，甚至操作系统的账号（这样就可以审核用系统账号登录数据库系统情况下的安全性）。
　　扫描速度理所当然的相当快，因为就技术而言，数据库的漏洞并不像主机那么多，检测项目也没有那么多，因此速度较快。下面是评估报告，当然这仅仅是主要描述部分，并不是细节描写。

　　下图是数据库扫描系统的一些检测项，应该说基本覆盖了数据库安全检查项的绝大多数。

　　下面是一个细节的描述，描述名称为“审计级别设置”：

漏洞描述：
    检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录，成功还是失败，连接是标准的还是信任的，时间和日期等信息。正确设置审计级别可以用来严格检测过期登录，登录攻击，违反登录时间。
漏洞来源：
    审计是数据库管理系统安全性重要的一部分，通过审计，凡是与数据库安全性相关的操作可被记录下来，只要检测审计记录，系统安全员就可以掌握数据库被使用状况。如何设置审计的级别：不审计、成功审计、失败审计、全部审计。
修复建议：
    更改审计级别。 对于SQL Server 6.x（使用企业管理器）： 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000（使用企业管理器）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005（使用SQL Server Management Studio）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别


　　漏洞描述、漏洞来源、修复建议，都比较的详细，可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
　　当然，相对于某些数据库扫描系统不支持MySQL（为什么不支持MySQL？因为多数人用的是免费版？），本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库，我手头的这版本没有DB/2和Infomix的支持，不知道新版本是否支持？
　　总的来说，产品是不错的，特别是在市场上数据库漏洞扫描产品很少，等级保护和分级保护又明确了数据库安全的情况下，本产品应该很有市场。

作者：网路游侠 https://www.youxia.org
　　　转载请注明来源！谢谢合作。