数据库被黑了？教你那些入侵手法，别再傻傻不防备了！

数据库被黑了？教你那些入侵手法,别再傻傻不防备了！

最近总听说谁的数据库被拖库了，谁的用户信息又泄露了，你是不是也觉得数据库离自己很远，或者觉得有防火墙就高枕无忧了？千万别这么想！黑客们的手法有时候简单得让你吃惊，今天就来扒一扒他们常用的那些招数，了解这些,你才知道该怎么防。

第一招：SQL注入——从那个“登录框”攻进去 这可能是最经典、也最常被提及的手法了，很多网站都有个搜索框或者登录框，让你输入用户名、密码，如果网站的程序员小哥写代码时偷了懒，没有对你输入的内容进行严格的“检查”和“过滤”，黑客就能钻空子。 他不在密码框里填“123456”，而是填上一段特殊的数据库命令，这段命令被原封不动地发送到后台数据库时，数据库可能会误以为这是管理员让它执行的指令，这样一来，黑客可能就能绕过密码直接登录，甚至能看到数据库里所有的用户表，包括你的账号、密码、手机号，根据“知道创宇”的安全报告，直到今天,SQL注入依然是Web应用最高发的安全漏洞之一。

第二招：弱口令和默认口令——就像用“123456”当保险柜密码 你别笑，这招成功率极高！很多管理员图省事，或者心存侥幸，给数据库设置诸如“admin/123456”、“root/root”这种弱密码，更夸张的是，一些数据库软件安装后会有默认的用户名和密码（比如某些数据库默认密码为空），如果管理员忘了改，就等于把大门钥匙插在锁上，黑客们手里都有“字典”，里面装着成千上万条常用密码和默认密码，用工具一遍遍试，总有人中招，根据“腾讯安全”的统计,弱口令攻击是服务器失陷的最主要原因之一。

第三招：漏洞攻击——专打软件本身的“BUG” 数据库软件，比如MySQL、Redis、MongoDB这些，本身也是程序，是程序就可能存在未被发现的漏洞（也叫BUG），黑客和安全研究员们整天都在研究这些软件，一旦发现一个严重的漏洞，比如某个版本存在无需密码就能远程执行命令的漏洞，那就会掀起轩然大波，黑客会编写专门的攻击代码，在互联网上扫描所有使用了这个有漏洞版本的数据库，一击即中，前些年闹得很大的“Redis未授权访问漏洞”和“MongoDB勒索事件”，就是因为数据库配置不当或存在漏洞，导致黑客能直接连上去,把数据全部偷走或加密勒索。

第四招：社工和钓鱼——骗到管理员自己交出钥匙 这招不太技术，但非常狡猾，黑客可能伪装成公司同事、软件客服，甚至老板，给管理员发一封精心伪造的邮件或消息，邮件里可能说：“公司系统紧急升级，请立即点击链接登录数据库后台核实。”那个链接看起来和真的一模一样，其实是黑客搭的假网站，管理员一旦输入了账号密码，钥匙就直接送到黑客手里了，或者，通过聊天套话，套出数据库服务器的地址、管理员的常用密码习惯等，根据“360网络安全”的案例分析，很多大型数据泄露事件的起点,往往是一次成功的社工钓鱼。

第五招：内部泄露和权限滥用——堡垒从内部被攻破 这可能是最防不胜防的一招，能接触到数据库的，不止有管理员，可能是公司的某个开发人员，为了图方便，把测试数据库的连接信息明文写在了代码里，而这份代码又传到了公开的代码托管平台（如GitHub）上，被黑客爬取到，也可能是某个有数据查询权限的员工，被收买后偷偷导出用户数据卖掉，权限管理混乱，一个普通的业务人员拥有他根本不需要的“超级权限”,这也埋下了巨大的隐患。

知道了怎么黑，那该怎么防？

1. 别偷懒，密码要又长又乱：数据库密码一定要复杂，并且定期更换,千万别用默认密码！
2. 最小权限原则：只给每个程序或人员刚刚够用的权限，别动不动就给“超级管理员”权。
3. 定期打补丁：关注数据库官方发布的安全更新,有漏洞赶紧修补。
4. 对输入严格过滤：开发程序时，一定要对用户输入的所有数据进行严格的检查、转义,彻底堵死SQL注入的路。
5. 加密敏感数据：用户的密码不要明文存储，要用可靠的加密算法（如bcrypt）处理，其他敏感信息,也可以考虑加密存储。
6. 日志和监控：开启数据库的访问日志，谁在什么时候连上来的、干了什么，要有记录,发现异常登录及时报警。
7. 内外网隔离：数据库服务器不要直接暴露在公网上，应该放在内网,通过安全网关访问。

数据库就像你家放金银细软的保险柜，不能因为它放在里屋就觉得安全，了解这些常见的“撬锁”手法，你才会真正重视起来，把锁换成更结实的，把墙砌得更高，看好自家的钥匙，安全这件事，永远没有“万一”，只有“一万”。