[发明专利]数据库的检测方法及装置、存储介质及电子装置

说明书

本发明公开了一种数据库的检测方法及装置、存储介质及电子装置，上述方法包括：获取预先设置的数据库识别列表，通过数据库识别列表对目标数据库进行远程识别，其中，数据库识别列表包含以下至少之一：数据库服务类型、数据库版本信息；根据远程识别结果对目标数据库进行安全检测，以确定目标数据库的安全漏洞信息；确定安全漏洞信息对应的漏洞类型，根据漏洞类型配置目标数据库对应的渗透攻击方式；执行目标数据库对应的渗透攻击方式，检测渗透攻击方式的攻击结果，根据攻击结果确定目标数据库存在的泄露数据库内容的漏洞，解决了相关技术中，无法根据数据库的漏洞类型的不同进行不同攻击方式的确定等问题。

技术领域

本发明涉及数据库攻击领域，具体而言，涉及一种数据库的检测方法及装置、存储介质及电子装置。

背景技术

数据库攻击技术是一种利用数据库本身存在的缺陷和漏洞对从多个层次和维度对数据库进行攻击的技术。传统的软件攻击技术更侧重于网络安全方面的攻击，而对于数据库领域的漏洞攻击缺乏真正专业并且涉及面广泛的技术。数据库漏洞攻击相对而言复杂性更高难度更大，并且真正能够实现流程化需要很强的专业性和对数据库漏洞有相当的积累。传统的攻击方式无法对数据库实现准确而有效的攻击。

针对相关技术中，无法根据数据库的漏洞类型的不同进行不同攻击方式的确定等问题，尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种数据库的检测方法及装置、存储介质及电子装置，以至少解决相关技术中，以至少解决相关技术中，无法根据数据库的漏洞类型的不同进行不同攻击方式的确定等问题。

根据本发明实施例的一个方面，提供了一种数据库的检测方法，包括：获取预先设置的数据库识别列表，通过所述数据库识别列表对目标数据库进行远程识别，其中，所述数据库识别列表包含以下至少之一：数据库服务类型、数据库版本信息；根据远程识别结果对所述目标数据库进行安全检测，以确定所述目标数据库的安全漏洞信息；确定所述安全漏洞信息对应的漏洞类型，根据所述漏洞类型配置所述目标数据库对应的渗透攻击方式；执行所述目标数据库对应的渗透攻击方式，检测所述渗透攻击方式的攻击结果，根据所述攻击结果确定目标数据库存在的泄露数据库内容的漏洞。

在一个示例性实施例中，根据远程识别结果对所述目标数据库进行安全检测，以确定所述目标数据库的安全漏洞信息之前，所述方法还包括：根据所述远程识别结果确定与所述目标数据库进行连接的目标主机的操作系统信息；将所述操作系统信息作为确定所述目标数据库的渗透攻击方式的参考信息。

在一个示例性实施例中，根据远程识别结果对所述目标数据库的进行安全检测，获得所述目标数据库的安全漏洞信息，包括：根据所述远程识别结果检测所述目标数据库的安全弱点，其中，所述安全弱点包含以下至少之一：目标数据库的安全配置缺陷、目标数据库的用户名脆弱性、目标数据库的用户密码脆弱性、目标数据库的弱口令；根据所述安全弱点的检测结果确定出所述目标数据库所具有的安全漏洞信息。

在一个示例性实施例中，确定所述安全漏洞信息对应的漏洞类型，根据所述漏洞类型配置所述目标数据库对应的渗透攻击方式，包括：当获取到的所述安全漏洞信息对应的漏洞类型为免登陆类型时，直接根据对远程识别结果进行渗透攻击；当获取到的所述安全漏洞信息对应的漏洞类型为低权限类型时，获取所述目标数据库的低权限账号，对所述低权项账号进行权限提取，以得到所述目标数据库的敏感数据进行渗透攻击；当获取到的所述安全漏洞信息对应的漏洞类型为操作系统账户类型时，获取所述目标数据库对应的操作系统账号，根据所述操作系统账号对所述目标数据库进行渗透攻击。

在一个示例性实施例中，根据所述攻击结果确定目标数据库存在的泄露数据库内容的漏洞，包括：获取所述渗透攻击方式对所述目标数据库的漏洞进行攻击的攻击结果；确认产生所述攻击结果的所述目标数据库中的数据服务是否变化；当所述数据服务发生变化时，确定所述目标数据库中引起服务变化的数据信息，根据所述数据信息确定所述目标数据库的漏洞。