文档介绍：申请上海交通大学工学硕士学位论文



Oracle 数据库传输协议分析与渗透技术研究


RESEARCH ON TRANSFER PROTOCOL AND
PENETRATION OF ORACLE DATABASE



学生姓名： 蒋彦
专 业： 通信与信息系统
学 号： 1090369023
研究方向： 网络攻防
指导导师： 薛质


上海交通大学信息安全工程学院

2011 年 12 月

I
A THESIS SUBMITTED TO SHANGHAI JIAO TONG
UNIVERSITY
OF THE REQUIREMENTS
FOR THE DEGREE OF MASTER OF SCIENCE

RESEARCH ON TRANSFER PROTOCOL AND
PENETRATION OF ORACLE DATABASE

AUTHOR: Yan Jiang
SPECIALTY: Communication and Information System
ADVISOR: Zhi Xue





School of Information Security Engineering of
Shanghai Jiao Tong University

December 2011

II
上海交通大学工学硕士学位论文

Oracle 数据库传输协议分析与渗透技术研究

摘要

Oracle 是一种关系型数据库管理系统，它功能强大、性能卓越，
国内外很多重要的站点，尤其是大中型的网站服务器、邮件服务器、
文件服务器存储端都采用 Oracle 数据库，因此，Oracle 数据库的安
全对众多用户的数据安全有着至关重要的影响。
Oracle 数据库的安全隐患来源有多种，包括设计时未考虑到的协
议脆弱性，开发时的疏忽导致的模块缓冲区溢出漏洞，用户使用过程
中部署不恰当和管理过程中的权限控制不严格。本文从 Oracle 数据
库的安全体系入手，简要分析了其数据文件存储、日志管理、程序运
行的系统结构，探讨了 Oracle 数据库客户端和服务器之间连接建立
和身份认证协议的脆弱性，利用实验抓取通信协议包进行分析的方法，
避开了协议的不开源造成的困难。TNS 协议是 Oracle 网络连接最初
使用的协议，它的漏洞可能造成客户端无阻碍的获取服务器的管理信
息。而作为安全认证的一环，SID 和用户密钥常被攻击者采用字典攻
击。利用程序开发漏洞，攻击者甚至可绕过身份认证设施进行 P