Willkommen bei Scribd!

Karussell überspringen

Hacking The Big 4 Jan 2013 FG

Hochgeladen von

Avinee Oils

0% fanden dieses Dokument nützlich (0 Abstimmungen)

12 Ansichten18 Seiten

Study on Hacking the Databases

Originaltitel

Hacking the Big 4 Jan 2013 FG

Copyright

Verfügbare Formate

PPTX, PDF, TXT oder online auf Scribd lesen

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Dieses Dokument melden

Study on Hacking the Databases

Copyright:

Verfügbare Formate

Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

0% fanden dieses Dokument nützlich (0 Abstimmungen)

12 Ansichten18 Seiten

Hacking The Big 4 Jan 2013 FG

Hochgeladen von

Avinee Oils

Study on Hacking the Databases

Copyright:

Verfügbare Formate

Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

Zu Seite

Sie sind auf Seite 1von 18

Im Dokument suchen

Hacking The Big 4 Databases

Frank Grottola
VP North American Sales

Effective Database Defense

Agenda

Data, Databases, Data Theft

Database Attack Examples
Oracle: Stealth Password Cracking
SQL Server: Escalate a Database Owners Privileges to Sys Admin
Sybase: Escalate Any Users Privileges to Sys Admin
DB2: Create Remote OS Admin Users

Database Security Top 10 Checklist

How to Protect Your Databases with DbProtect

2 Application Security Inc. All rights reserved. Confidential

Data, Databases, Data Theft

Over 330,000,000
Over 90% of records
records stolen in
stolen from databases
2011 (Verizon DBIR)
(DataLossDB)

Too many organizations have failed to take database security seriously.

3 Application Security Inc. All rights reserved. Confidential

Did You Know?

4 Application Security Inc. All rights reserved. Confidential

So.Is Anyone Actually Surprised?

5 Application Security Inc. All rights reserved. Confidential

Default and Weak Passwords

Default accounts are never good

Not only DBMS have own default accounts, but applications

install them too

Weak passwords can be cracked

Just google <database type> password cracker dozens of

them out there
Names, places, dictionary words make poor passwords
Rainbow tables make anything under 7 or 8 characters weak

Database login activity seldom monitored

If youre not watching, an attacker can guess passwords all day

6 Application Security Inc. All rights reserved. Confidential

Default Account Examples

User: SA / Password: null

User: sys / Password: change_on_install
User: scott / Password: tiger
User: db2admin / Password: db2admin
User: db2as / Password: ibmdb2

User: SA / Password: null

User: root / Password: null
User: admin / Password: admin

User/Password the Same:

DATABASE SECURITY
DBSNMPNOT MY PROBLEM

7 Application Security Inc. All rights reserved. Confidential

Attacking Oracle

Attack Target:
Oracle 11g Release 2

Privilege Level:
Any user on the network

Outcome:
Obtain any users password (login as SYS)

Vulnerabilities Exploited:
Oracle Stealth Password Cracking

Reported by:
Esteban Martinez Fayo - Team SHATTER - AppSecInc

Patched by Vendor:
Oct 2012 CPU
8 Application Security Inc. All rights reserved. Confidential
Attacking Oracle: Failed Login + Packet Capture

9 Application Security Inc. All rights reserved. Confidential

Attacking Oracle: Run Password Brute Force Tool

10 Application Security Inc. All rights reserved. Confidential

Attacking Oracle: Login As SYS

11 Application Security Inc. All rights reserved. Confidential

Attacking Oracle

12 Application Security Inc. All rights reserved. Confidential

Attacking MS SQL Server: SQL Injection

Attack Target:
Microsoft SQL Server 2008

Privilege Level:
CREATE DATABASE

Outcome:
Full control of SQL Server (become SA)

Vulnerabilities Exploited:
Privilege escalation via SQL injection in RESTORE function

Reported By:
Martin Rakhmanov Team SHATTER AppSecInc

Attack Target:
Sybase ASE v15.5

Privilege Level:
Login only

Outcome:
Full control of Sybase server (become SA)

Vulnerabilities Exploited:
Privilege escalation via SQL injection in DBCC IMPORT_METADATA

Reported by:
Martin Rakhmanov - Team SHATTER - AppSecInc

Attack Target:
IBM DB2 LUW v9.7 (Windows only)

Privilege Level:
Login only

Outcome:
Full control of database and the server it runs on (become OS admin)

Vulnerabilities Exploited:
Arbitrary Code Execution in SQLJ.DB2_INSTALL_JAR

Reported by:
Martin Rakhmanov - Team SHATTER - AppSecInc

1: Inventory Databases

2: Tag Critical Systems

3: Change Default Passwords

4: Implement Strong Password Controls

5: Enact and Enforce Patch Management Policies

6: Maintain and Enforce Configuration Standards

7: Document and Enforce Least Privilege Controls

8: Audit Privileged Access

9: Monitor For and Respond To Attacks

10: Encrypt Sensitive Data At Rest and In Motion

A Process To Secure Your Databases

Precision Security
DbProtect

References

Team SHATTER Security Heuristics of Application Testing Technology for Enterprise

Research
http://www.teamshatter.com
Top 10 Database http://www.teamshatter.com/topics/general/team-shatter-
Vulnerabilities exclusive/top-10-database-vulnerabilities-and-misconfigurations/
Book Practical Oracle Security
By Josh Shaul
CTO, Application Security, Inc.

Josh Shaul
Chief Technology Officer
Application Security, Inc.

Das könnte Ihnen auch gefallen

ADM960 Flashcards
Dokument30 Seiten
ADM960 Flashcards
seansran
100% (1)
Learning iOS Penetration Testing
Von Everand
Learning iOS Penetration Testing
Yermalkar Swaroop
Noch keine Bewertungen
Sagara Technology Profile
Dokument39 Seiten
Sagara Technology Profile
Syarifah Masturoh
Noch keine Bewertungen
Office M365 CrashCourse PDF
Dokument32 Seiten
Office M365 CrashCourse PDF
D'ar Corpuz
Noch keine Bewertungen
WP Risk Driven Dbsec 20 1
Dokument16 Seiten
WP Risk Driven Dbsec 20 1
gauloises22
Noch keine Bewertungen
Workshop SCA and WebInspect-April-04062016
Dokument193 Seiten
Workshop SCA and WebInspect-April-04062016
Rogério Almeida
Noch keine Bewertungen
02lec - 10 OWASP Vulnerabilities (1) (6 Files Merged)
Dokument153 Seiten
02lec - 10 OWASP Vulnerabilities (1) (6 Files Merged)
manju kakkar
Noch keine Bewertungen
Database Security by Haris
Dokument11 Seiten
Database Security by Haris
Muhammad Asfand
Noch keine Bewertungen
Add Structure and Credibility To Your Security Portfolio With CIS Controls v8 Cybersecurity Framework
Dokument55 Seiten
Add Structure and Credibility To Your Security Portfolio With CIS Controls v8 Cybersecurity Framework
Lâm Hữu Tiến
Noch keine Bewertungen
Trend Keamanan Serangan Siber Dan Malware V.3.0
Dokument42 Seiten
Trend Keamanan Serangan Siber Dan Malware V.3.0
muhammadulya a
Noch keine Bewertungen
Secure Coding - PHP v.1.1
Dokument137 Seiten
Secure Coding - PHP v.1.1
Bond James
Noch keine Bewertungen
02lec - 10 OWASP Vulnerabilities
Dokument40 Seiten
02lec - 10 OWASP Vulnerabilities
manju kakkar
Noch keine Bewertungen
It's Your Data - Are You Sure It's Safe?: Team Mag 5
Dokument14 Seiten
It's Your Data - Are You Sure It's Safe?: Team Mag 5
Sami Lo'o Lo'o
Noch keine Bewertungen
Top 10 Database Security Best Practices
Dokument10 Seiten
Top 10 Database Security Best Practices
birish2009
Noch keine Bewertungen
Mysql Security: Mario Beck Emea Presales Manager Mysql
Dokument29 Seiten
Mysql Security: Mario Beck Emea Presales Manager Mysql
abdullahzarour83
Noch keine Bewertungen
Software Security - SEGI - I
Dokument46 Seiten
Software Security - SEGI - I
juan caceres
Noch keine Bewertungen
With Emphasis On Web Applications Security Related Issues
Dokument28 Seiten
With Emphasis On Web Applications Security Related Issues
Fsohail
Noch keine Bewertungen
Integrigy - Eight Key Components of A Database Security Risk Assessment
Dokument24 Seiten
Integrigy - Eight Key Components of A Database Security Risk Assessment
felipealv_161505
Noch keine Bewertungen
Ensuring Database Compliance With Real-Time Database Monitoring, Security & Auditing
Dokument39 Seiten
Ensuring Database Compliance With Real-Time Database Monitoring, Security & Auditing
mohitsport
Noch keine Bewertungen
2011 Supercharged Slides Redman OWASP Feb
Dokument67 Seiten
2011 Supercharged Slides Redman OWASP Feb
Tech Flame
Noch keine Bewertungen
Traffic Shield: Rainer Singer
Dokument30 Seiten
Traffic Shield: Rainer Singer
New Comers
Noch keine Bewertungen
Abrar Database Security
Dokument22 Seiten
Abrar Database Security
Muhammad Asfand
Noch keine Bewertungen
Web Application Security Web Application Security Testing: Ir. Geert Colpaert, CEH 8 Oktober 2008
Dokument22 Seiten
Web Application Security Web Application Security Testing: Ir. Geert Colpaert, CEH 8 Oktober 2008
pooranisrinivasan85
Noch keine Bewertungen
Course Paper
Dokument10 Seiten
Course Paper
nagykoldok
Noch keine Bewertungen
Chapter 11: It's A Network: Introduction To Networking
Dokument59 Seiten
Chapter 11: It's A Network: Introduction To Networking
Mohammad Mazen
Noch keine Bewertungen
Why - Ethical Hacking: Social Engineering Automated Attacks Protection From Possible External Attacks
Dokument14 Seiten
Why - Ethical Hacking: Social Engineering Automated Attacks Protection From Possible External Attacks
faiza
Noch keine Bewertungen
Chapter 16 IT Controls Part II Security and Access
Dokument41 Seiten
Chapter 16 IT Controls Part II Security and Access
Gazelem Zeryne Agoot
Noch keine Bewertungen
Mobile App Hardening: Against Reverse Engineering
Dokument49 Seiten
Mobile App Hardening: Against Reverse Engineering
Bizuneh Hailu
Noch keine Bewertungen
Chapter11 Security On ZOS Slides
Dokument40 Seiten
Chapter11 Security On ZOS Slides
akdenizerdem
Noch keine Bewertungen
2015 K Mysql Carsten - Thalheimer Mysql - Enterprise - Haerten - Von - Mysql Instanzen Praesentation
Dokument58 Seiten
2015 K Mysql Carsten - Thalheimer Mysql - Enterprise - Haerten - Von - Mysql Instanzen Praesentation
Armando Romero
Noch keine Bewertungen
WebSphere Application Server 8.5 Security Hardening
Dokument111 Seiten
WebSphere Application Server 8.5 Security Hardening
velvetvamp
Noch keine Bewertungen
Top 10 OS/400 Security Risks: October 2004
Dokument50 Seiten
Top 10 OS/400 Security Risks: October 2004
lazaro
Noch keine Bewertungen
I o Shacking
Dokument60 Seiten
I o Shacking
Bharath Kumar
Noch keine Bewertungen
F5
Dokument38 Seiten
F5
sofien
100% (1)
1.1 - Introduction and Technical Overview - Presentation
Dokument27 Seiten
1.1 - Introduction and Technical Overview - Presentation
Mohannad Dawoud
Noch keine Bewertungen
MD 101T00 ENU PowerPoint - 06
Dokument26 Seiten
MD 101T00 ENU PowerPoint - 06
mloga86
Noch keine Bewertungen
SAP Cybersecurity 2018
Dokument78 Seiten
SAP Cybersecurity 2018
squaresh
Noch keine Bewertungen
Hacking Database
Dokument30 Seiten
Hacking Database
amrit874
100% (3)
Quizbuilder - Fortify Security Report
Dokument9 Seiten
Quizbuilder - Fortify Security Report
Tamii
Noch keine Bewertungen
Cse Instructor Materials Chapter7
Dokument26 Seiten
Cse Instructor Materials Chapter7
api-224615605
Noch keine Bewertungen
IBMSol Con 2013 Andreas Metz ITCUBESYSTEMSSAPDerblinde Fleck 14062013
Dokument35 Seiten
IBMSol Con 2013 Andreas Metz ITCUBESYSTEMSSAPDerblinde Fleck 14062013
mduweik
Noch keine Bewertungen
CISSP Domain 3 v2 Complete
Dokument178 Seiten
CISSP Domain 3 v2 Complete
Jeff Edstrom
100% (1)
IOS App Pentest
Dokument78 Seiten
IOS App Pentest
Semi Yulianto
100% (1)
02 Preventing Web App Hacking
Dokument31 Seiten
02 Preventing Web App Hacking
anil
Noch keine Bewertungen
Dbprotect Database Activity Monitoring (Dam) and Vulnerability Assessment
Dokument2 Seiten
Dbprotect Database Activity Monitoring (Dam) and Vulnerability Assessment
Balqéeş M Odàt
Noch keine Bewertungen
Best Practices: IBM Data Server Security
Dokument38 Seiten
Best Practices: IBM Data Server Security
Jesus Barrera Ishihara
Noch keine Bewertungen
SQL Server Security Checklist
Dokument3 Seiten
SQL Server Security Checklist
worlddoorway
100% (1)
Build A Small Network
Dokument39 Seiten
Build A Small Network
sofyankp mtm
Noch keine Bewertungen
Database Security - Chapter35
Dokument30 Seiten
Database Security - Chapter35
Daniel Advíncula
Noch keine Bewertungen
Pertemuan 13
Dokument3 Seiten
Pertemuan 13
zami satria
Noch keine Bewertungen
Defense in Depth On 11th Gen Intel Core Processors - 052721 - Final
Dokument10 Seiten
Defense in Depth On 11th Gen Intel Core Processors - 052721 - Final
MB SIXTEEN
Noch keine Bewertungen
WDQJFJBJQ
Dokument8 Seiten
WDQJFJBJQ
Suthan Suthan
Noch keine Bewertungen
Im Unit 2
Dokument45 Seiten
Im Unit 2
Prem De Bruin
Noch keine Bewertungen
Chapter 1 - Introduction
Dokument18 Seiten
Chapter 1 - Introduction
Aníbal Calle
Noch keine Bewertungen
8 Steps To Holistic Database Security
Dokument6 Seiten
8 Steps To Holistic Database Security
elazarine
Noch keine Bewertungen
CIS Controls v8 Mapping To SOC2 2 2023
Dokument68 Seiten
CIS Controls v8 Mapping To SOC2 2 2023
LUIS ALVIAREZ
100% (1)
1.8 Introduction To Networks - Network Security
Dokument3 Seiten
1.8 Introduction To Networks - Network Security
Cristian Morales
Noch keine Bewertungen
Unit 5-DBP
Dokument37 Seiten
Unit 5-DBP
Hafiz Rahman
Noch keine Bewertungen
F5
Dokument38 Seiten
F5
Luis Diaz
Noch keine Bewertungen
How To Hack Database
Dokument45 Seiten
How To Hack Database
Printesh Patel
Noch keine Bewertungen
Practical Oracle Security: Your Unauthorized Guide to Relational Database Security
Von Everand
Practical Oracle Security: Your Unauthorized Guide to Relational Database Security
Josh Shaul
Noch keine Bewertungen
How to Cheat at Microsoft Vista Administration
Von Everand
How to Cheat at Microsoft Vista Administration
Jan Kanclirz
Noch keine Bewertungen
Pallavi
Dokument6 Seiten
Pallavi
sethi nagendrasundar
Noch keine Bewertungen
Excel and Power Point Questions
Dokument8 Seiten
Excel and Power Point Questions
Kamlesh Jangpangi
Noch keine Bewertungen
ARLOOPA Presentation 2019
Dokument45 Seiten
ARLOOPA Presentation 2019
juan
Noch keine Bewertungen
RBR - DLL Official Guide: by Davide "Ventu" Venturelli
Dokument9 Seiten
RBR - DLL Official Guide: by Davide "Ventu" Venturelli
Artiom
Noch keine Bewertungen
Unpack: More User Manuals On
Dokument2 Seiten
Unpack: More User Manuals On
FRANCISCO SOLAR G.
Noch keine Bewertungen
Questão Desafio 1
Dokument1 Seite
Questão Desafio 1
ines piqueira
Noch keine Bewertungen
Test For Gca
Dokument4 Seiten
Test For Gca
HiromoSian
Noch keine Bewertungen
Sony PSP Forensics
Dokument44 Seiten
Sony PSP Forensics
jformica
Noch keine Bewertungen
File 1 303
Dokument94 Seiten
File 1 303
Deepa R Nair
Noch keine Bewertungen
Android Sending SMS Tutorial
Dokument10 Seiten
Android Sending SMS Tutorial
Justice Baloyi
Noch keine Bewertungen
Introduction To Digital Marketing
Dokument25 Seiten
Introduction To Digital Marketing
rachida el faiz
Noch keine Bewertungen
Movilizer SAP PM-CS en
Dokument8 Seiten
Movilizer SAP PM-CS en
Josue Quiroz
Noch keine Bewertungen
Think Python - How To Think Like A Computer Scientist
Dokument2 Seiten
Think Python - How To Think Like A Computer Scientist
yeeleong
Noch keine Bewertungen
PAC File Reference
Dokument17 Seiten
PAC File Reference
0Range007
Noch keine Bewertungen
Are We Ready For E-Commerce
Dokument8 Seiten
Are We Ready For E-Commerce
azam_563
Noch keine Bewertungen
MalwareAnalysis Report2S17
Dokument15 Seiten
MalwareAnalysis Report2S17
itcom068
Noch keine Bewertungen
CNS 320 Week3 Lab
Dokument84 Seiten
CNS 320 Week3 Lab
alb3rtlin
Noch keine Bewertungen
DLL For CSS
Dokument3 Seiten
DLL For CSS
Ariel Cancino
Noch keine Bewertungen
Extending Microsoft Dynamics NAV 2016 Cookbook PDF
Dokument448 Seiten
Extending Microsoft Dynamics NAV 2016 Cookbook PDF
Imran Mulani
Noch keine Bewertungen
Audacity: Free Open Source Audio Recording and Editing Software
Dokument26 Seiten
Audacity: Free Open Source Audio Recording and Editing Software
June Mae Roque Budaden
100% (2)
Provided Before Each Number.: Catubig, Northern Samar
Dokument3 Seiten
Provided Before Each Number.: Catubig, Northern Samar
Joanne Pauline Tenedero - Ruela
Noch keine Bewertungen
Assignment No. 4: Elective Iii:Iot Lab
Dokument4 Seiten
Assignment No. 4: Elective Iii:Iot Lab
dawokel726
Noch keine Bewertungen
Latest Performance Report For - Https - WWW - Sify.com - GTmetrix
Dokument3 Seiten
Latest Performance Report For - Https - WWW - Sify.com - GTmetrix
Shreya Kalyan
Noch keine Bewertungen
Pinterest: Purpose of The App
Dokument12 Seiten
Pinterest: Purpose of The App
Maithili SUBRAMANIAN
Noch keine Bewertungen
DVB T2 Factsheet
Dokument2 Seiten
DVB T2 Factsheet
Volvoxdj
Noch keine Bewertungen
Administrator Guide SX20
Dokument144 Seiten
Administrator Guide SX20
Marco Canales NAveda
Noch keine Bewertungen
C# Laboratory Activity #3 - Working On C# Listview v2
Dokument9 Seiten
C# Laboratory Activity #3 - Working On C# Listview v2
DarwinVillanueva
Noch keine Bewertungen
Confluence Content Management Webinar Notes
Dokument4 Seiten
Confluence Content Management Webinar Notes
jerryhamstersg6681
Noch keine Bewertungen