بایگانی ماهیانه: خرداد ۱۳۹۲

امنیت اتصال به دیتابیس در برنامه های کاربردی

یکی از مشکلات بحرانی بسیاری از برنامه های بومی که متصل به پایگاه داده هستند، نحوه اتصال کلاینت به دیتابیس است. در اکثر قریب به اتفاق این برنامه ها، برنامه کلاینت مستقیماً به سرور دیتابیس متصل شده و نام حساب کاربری و پسورد دیتابیس را به صورت متن واضح (clear text) بر بستر شبکه ارسال می کند. این ضعف بدیهی و اولیه در برنامه هایی دیده شده که در لحظه اول قابل باور نیست که تولید کنندگان و فروشندگان برنامه تا این حد ساده انگارانه و ناشیانه با موضوع برخورد کرده باشند. حتی بدتر از آن، بسیاری از این برنامه ها، حساب کاربری با حداکثر مجوزهای ممکن را برای اتصال به دیتابیس استفاده می کنند (مانند حساب sa در Microsoft SQL Server). خبر بد برای سازمان هایی که از اینگونه نرم افزارها استفاده می کنند این است که سرور دیتابیس مربوطه و سیستم عامل آن، در کمتر از چند دقیقه، می تواند به تسخیر کامل نفوذگر در آید. کافی است که نفوذگر به یک نود میان کلاینت و سرور دسترسی داشته و از ابزارهای مناسب استفاده کند. بدیهی است که تولید کننده وقتی نسبت به خطر اینگونه طراحی نرم افزار ناآگاه بوده، به طور حتم از Harden کردن سرور دیتابیس و حذف مجوزهای اضافی کاربر sa هم غافل بوده است.

یکی از راه حل های جایگزین برای حل این آسیب پذیری، فعال نمودن SSL در اتصال میان برنامه کلاینت و سرور دیتابیس است.

اشتراک گذاری