假如有一天
你在一家五星级酒店休息
门外有个陌生人拿着一把万能钥匙
可以打开每间房的房门
你会不会觉得有点毛骨悚然?
这可并不是小说里的情节
最近有外媒报道
F-Secure的两名安全专家在业余期间花了十年
造出了可以打开使用VingCard锁的全球数百万个酒店房间的万能钥匙
根据他们的方案
只要拿到一家酒店的房卡
甚至是过期房卡
就可以很快配出能打开酒店每个房间的主秘钥
而且被万能钥匙打开的房门会记录为正常开门
不会留下任何数据痕迹
所幸
做到它的是两位安全专家
目前也没有任何证据表明
黑客和不法分子掌握了这项技术
否则后果不堪设想
但是这两位专家还是提醒我们
黑客通过漏洞获取能够打开大批智能锁的万能钥匙
也仅是时间问题而已
而且越是智能的东西就会有越多漏洞
目前
他们已经把发现的漏洞公布
相关酒店也收到了漏洞补丁
需要在每个门锁上再加入一个固件进行填补
对于漏洞的扫描与补充
安恒信息的明鉴数据库漏洞扫描系统
可以帮上大忙
明鉴数据库漏洞扫描系统(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上,研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累,是专门用于扫描数据库漏洞的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令的功能。
产品的功能模块划分如下图
产品特点
权威的漏洞规则库
权威数据库安全专家提供最全面、最准确和最新的漏洞知识库。
深度的漏洞检测
提供对数据库“漏洞、不安全配置、弱口令、补丁”深层次安全检测及准确评估。
完备的类型支持
支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Informix、Mysql、Sybase、PostgreSQL、达梦、人大金仓等。
优异的扫描引擎
扫描引擎确保系统工作时对数据库及服务器性能影响最小化。
灵活的策略管理
策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标准,根据用户的实际测试目的,定制不同的策略,并可以自行添加策略项扩充策略库检测数据库的安全漏洞。
用户管理
产品默认用户分为三类:管理员,审计员和操作员。管理员可以对审计员和操作员进行角色权限分配。审计员可以审计程序运行日志。操作员可以根据自己权限情况进行相应的操作,使用相应的功能。也可以由管理员创建新的角色给予相应的权限。
日志管理
记录该产品运行中的所有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为CSV格式的文档。
丰富的扫描报告
扫描结果通过灵活的报表呈现给用户,支持各类格式输出,并提供漏洞分级、相应加固建议方案以及自定义报表内容。
方便的操作管理
充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置。
敏感数据探测
可以针对数据库每张表每个字段的内容进行敏感数据探测。敏感信息用户可以自定义添加,可以让用户了解自己的数据库系统有哪些敏感数据,存放的具体位置,便于在信息保护和审计中重点关注。