Команда Metasploit и Digital Security представили на BlackHat 2009 инструмент для анализа защищённости Oracle

Теги: Black Hat, Metasploit, Oracle

На конференции BlackHat 2009, проходящей в конце июля в Лас-Вегасе, был представлен инструмент, который позволяет проводить анализ защищённости СУБД Oracle методом тестирования на проникновение.

На конференции BlackHat 2009, проходящей в конце июля в Лас-Вегасе, был представлен инструмент, который позволяет проводить анализ защищённости СУБД Oracle методом тестирования на проникновение.

Инструмент представляет собой модуль для широко известного набора автоматизированного проникновения в системы – Metasploit. В написании данного инструмента активное участие принимал руководитель исследовательского центра Digital Security Research Group – Александр Поляков, написав ряд модулей, позволяющих повысить привилегии в СУБД, получить доступ к операционной системе и выполнить ряд других атак. Кроме того, ряд модулей для получения SID был написан с использованием исследования DSecRG «Различные способы получения SID базы данных в СУБД Oracle», за что была выражена благодарность одним из авторов Metasploit.

Программа позволяет имитировать все этапы проникновения в СУБД Oracle, начиная от сканирования сети, подбора паролей, получения SID и заканчивая повышением привилегий, проникновением в операционную систему и проведением других атак. Кроме того, инструмент реализует различные методы для скрытия атак от сетевых систем обнаружения вторжений, ещё раз доказывая, что для защиты СУБД должны использоваться специализированные продукты.

Выход данной утилиты ещё раз подтверждает актуальность проблемы безопасности СУБД и предлагает администраторам озаботиться не только установкой обновлений, но и повышением уровня защищенности, применяя комплексный подход.

Утилита является хорошим практическим дополнением к недавно вышедшей книге: “Безопасность Oracle глазами аудитора: нападение и защита”, позволяя испробовать на практике в тестовых целях многие из описанных в ней атак на СУБД Oracle.

Презентация с BlackHat 2009:
http://www.blackhat.com/presentations/bh-usa-09/GATES/BHUSA09-Gates-OracleMetasploit-SLIDES.pdf

Описание программы:
http://www.blackhat.com/presentations/bh-usa-09/GATES/BHUSA09-Gates-OracleMetasploit-PAPER.pdf

Обучающее видео:
http://vimeo.com/channels/carnal0wnage


или введите имя

CAPTCHA
78528
03-08-2009 17:26:36
Решето!
0 |
27570
03-08-2009 17:32:39
даже без метасплойта всем понятно что оракл п0сасывает у постгреса
0 |
антилинупсоид
03-08-2009 17:48:14
Грядет окончательный линубздкaпeц++! Пенгвины дохнут от страха, Windows 7 наступает!!!
0 |
26003
04-08-2009 02:00:52
Высер пустоглазого красножопика детектед!
0 |
07314
04-08-2009 02:01:14
Обнаружен высер пустоглазого красножопика!
0 |
04-08-2009 08:26:16
Я тут. Кто меня искал? ==================================
0 |
Добродушный
04-08-2009 08:29:52
Я вот читаю комментарии к каждой новости и недоумеваю - неужели на просторах нашей необъятной родины могут одновременно находиться такое количество идиотов? Я обращаюсь ко всем, кто устраивает здесь непонятный холивар - зачем? В чём смысл поливания грязью друг-друга? Вы думаете что ваша аргументированная позиция заставит кого-то передумать? Людям абсолютно похрену ваши доводы! Никогда ни одна из сторон не сможет ничего доказать другой. Я призываю вас - хватит засирать комменты вашим бредом. В комментах хочется видеть интересные мнения адекватных участников, а не потуги попугаев на оригинальность. linux, unix, beos, centos, windows, dos... какая разница? Всё это лишь инструменты...
0 |
65407
04-08-2009 09:02:49
это секлаб, сынок (с) привыкай =)
0 |
Неудивительно
04-08-2009 10:39:55
После запрета анонимуса на ЛОРе, он пришел на секлаб и сделал его филиалом башорга по срачу в каментах.
0 |
Jk
05-08-2009 08:36:56
Кстати, а где он сам сейчас? йцууйцууйцууйцу
0 |