這篇文章給出了一個(gè)國外廠(chǎng)商調查分析出來(lái)的十大數據庫安全漏洞：

 

1.默認、空白及弱用戶(hù)名/密碼

2.SQL注入

3.廣泛的用戶(hù)和組權限

4.啟用不必要的數據庫功能

5.失效的配置管理

6.緩沖區溢出

7.特權升級

8.拒絕服務(wù)攻擊

9.數據庫未打補丁

10.敏感數據未加密

此前，另一個(gè)公司也給出過(guò)數據庫安全十大威脅，兩者基本一致。

威脅 1 - 濫用過(guò)高權限

威脅 2 - 濫用合法權

威脅 3 - 權限提升

威脅 4 - 平臺漏洞

威脅 5 - SQL 注入

威脅 6 - 審計記錄不足

威脅 7 - 拒絕服務(wù)

威脅 8 - 數據庫通信協(xié)議漏洞

威脅 9 - 身份驗證不足

威脅 10 - 備份數據暴露

應該說(shuō)，在應對上述數據庫威脅和風(fēng)險的時(shí)候，應該有針對性地從多個(gè)方面入手，包括管理人員意識、制度、技術(shù)手段以及遵循基本的威脅防范準則。

僅從技術(shù)層面而言，對于減少數據庫可能遭受的威脅方面，建議使用Database Activity Monitoring(DAM)系統，也就是常說(shuō)的數據庫審計系統。

---