江湖秘笈：PostgreSQL数据库好用是真的，里面潜藏的漏洞风险也是真的！

Posted 2021-05-01 e品江湖网络攻防

关注蓝字，看点网络安全

每日晚间学习时间到啦，感谢大家一直以来对栏目的支持，我是e品小顽童。

 

昨天，我们对近期问题进行了整理和分类，然后发现很多看官都在数据库方面存在困扰。

 

既然有关数据库的问题进来比较凸显，那么我们不如围绕着这块话题进行一番讨论。

 

下面，我们一起来看下今天这位看官碰到了哪些数据库相关的问题。

 

            看官来信解答

提出问题的看官，同样是一名软件运维人员，他们主要从事ERP类软件的开发和维护工作。

 

当然，这位看官此次的碰到的问题相对昨天的问题来讲会更容易使人感到迷惑。据了解情况是这个样子滴。

职场提问

看官在一次运维工作中，发现客户的PostgreSQL数据库中有一个数据库关键数据表被人进行过修改和操作。

可是作为财务类软件，财务人员如果对软件进行调整，会主动向软件公司提出需求，并进行较长周期的调整与过度测试。

 

只是，公司内并未接到此类软件调整需求，而且客户的财务部门在近期账目统计时，也发现了一部分资金数据来源无法知晓。

对此不得不找到软件开发公司人员，只是运维人员也不明白是如何发生这个问题的。甚至在了解问题时，双方人员还因为质疑而产生了争议，客户已经提出要通过法律程序解决。

隐藏的问题，深深的危害

 

由此可见因为一个莫名的数据库关键数据被篡改问题，直接引发了极大的矛盾和猜疑。

 

当然，事后警方也有介入调查，最终结果为外部网络攻击所致，并非ERP软件开发公司人员所为。

 

说了这么半天，到底是什么样的一个问题，最后要上升到警方介入调查及法律程序解决争议呢？

 

现在，我们将时间交给2 cats大侠，让他通过自己的多年从业经验帮助客户了解问题根源所在。

            PostgreSQL数据库中的坑坑洼洼

大家好，我是2 cats。

 

在解决看官所提出的疑问前，我们先来简单了解下PostgreSQL数据库。

 

PostgreSQL数据库是什么？

PostgreSQL数据库，是一个由美国加州大学伯克利分校计算机系所开发出来的自由对象类关系型数据库管理系统。

它整体风格比较灵活，是除mysql、Firebird、Oracle、Sybase、DB2、Microsoft Sql Server等数据库之外的另一个选择。

 

PostgreSQL数据库的优势

特别是，PostgreSQL被开发出来后便被赋予世界上最丰富的数据类型支持名头，是很多商业性数据库所不具备的。

在接口方面，使用了经典的C/S（client/server）结构，支持很多开发语言。同时，几乎所有类型的数据库客户端接口他都可以使用。

 

PostgreSQL数据库的风险

只是，端口多虽然可以给使用者提供便利，可也同样给不法人员留下了渗入的机会。

就如此前网络渗透那般，开放端口的增加，会让网络安全变得岌岌可危。甚至会因为数据库自身的一些小缺陷引发重大问题。

 

例如数据库的弱密码、字段的灵活变更、同结构重名表单替换覆盖、数据的伪身份修正等。

这些对数据库来讲，一直是被人诟病的重点软肋。可是，我们如何才能发现和了解到这些问题的存在呢？

 

实验演示

下面，我们开始用实验说明。

 

1

 

我们先通过扫描工具对PostgreSQL数据库进行扫描，查找有效的数据模块。

 

2

 

当使用扫描模块过后，我们很快就发现了所需要的信息。

 

3

 

开始模拟不法人员对PostgreSQL数据库的渗透攻击行为。

 

至此，我们的实验结束了。

文末的语重心长

在整个过程中，我们发现，由于很多测试软件工具自身都会使用这类关系型数据库进行关联。

特别是在使用MSF测试工具时，它本身就是关联的PostgreSQL数据库，然后启动会自动生成一个MSF3的数据文件及渗透测试表单等。

 

这类文件如果处理不好，很可能就会成为不法人员所利用的信息。

譬如使用同类工具进行渗透是，使其自动生成自己期望得到的数据库表单和命名，然后执行渗透。

一旦渗透成功，成功破解数据库的弱账号密码时，就可以使用虚假的数据表单替换此前原有的真实表单，造成信息丢失或错乱等情况。

 

如果想要解决此类数据库自身遗留的问题，就需要尽快的填补官方发布有关数据库的修正补丁，另外在安全防护及表单命名等方面有所注意。

其他安全小建议

建议

1

在MSF3数据表生成时，尽量将它的命名规则及配套文件进行独立存放；

2

在运行状态测试前后建立安全的网络环境；

3

尽量减少PostgreSQL表单在外可被暴露的情况；

4

在客户端开发时，对接口的使用尽量有所注意，避免给不法人员留下可乘之机。

小顽童碎碎念

好啦，老规矩，如果有任何问题都可以发给小顽童哦。

我的邮箱是：xiaowantong@epinjianghu.com。

 

 

期待各位的来信交流！