【漏洞-Oracle】未设置口令复杂度校验、密码有效期
1.场景描述
三方漏洞扫描:
2.详细描述
安全问题:Oracle未设置系统的口令复杂度校验、密码有效期。
危害分析结果:存在使用口令被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问的可能性。
整改建议:建议根据需要对系统用户口令设置复杂度限制,口令的复杂度(8位以上、至少字母、数字、符号等混合组成)并更换周期进行合理设置(90天以内),不允许新设定的口令与前次旧口令相同。
涉及对象: Oracle。
3.方案分析
查询后得知:可通过配置密码复杂度策略解决。
Oracle数据库通过Profile来管理密码策略。默认情况下,数据库中有一个默认Profile:DEFAULT。我们可以修改这个默认的Profile,或者创建一个新的Profile并将其应用到需要的用户中。
在profile中可配置,通过LIMIT子句可设置多个密码策略,如密码有效期、密码错误n次后锁定用户、密码错误后锁定的天数、密码是否可和之前一样、密码可一样几次、密码到期后可使用的天数、密码复杂度等。其中,密码复杂度验证可以用默认函数,可以根据需要自定义一个密码验证函数。
为了不影响原有用户,本文创建一个新Profile 进行测试。 步骤:
1)创建一个新profile:taiy_secure_profile,指定各种策略。
创建一个新密码验证函数:taiy_verify_function(8位以上,含字母、数字、符号等)。
2)将这个配置文件分配给特定的数据库用户,使得该用户的密码将受到这些策略的约束。
4.问题处理
4.1查询
[oracle@neptune ~]$ sqlplus / as sysdba
SQL*Plus: Release 19.0.0.0.0 - Production on Thu Dec 19 22:13:13 2024
Version 19.3.0.0.0
Copyright (c) 1982, 2019, Oracle. All rights reserved.
Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
SYS@orcl> alter session set container=orclpdb1;
Session altered.
1)查看oracle 用户密码管理策略
select DISTINCT PROFILE from dba_users ;
SYS@orcl> select DISTINCT PROFILE from dba_users t ;
PROFILE
---------
DEFAULT
SYS@orcl>
结果截图: 策略都为DEFAULT
2)查看默认密码策略里的配置
命令:
SELECT * FROM dba_profiles WHERE resource_type='PASSWORD' ;
结果截图:
3) 查看密码复杂度校验
SELECT PROFILE,LIMIT FROM dba_profiles T WHERE resource_type='PASSWORD' AND T.resource_name='PASSWORD_VERIFY_FUNCTION'
order by 1,2
结果截图:
说明:Limit 列的值为null 表示未启用密码验证函发功能;
如果返回值为函数名称,如:VERIFY_FUNCTION 则表示启用验证函数功能。
4.2 创建新 密码验证函数:taiy_verify_function
密码复杂度要求:如8位以上,必须包含字母、数字、符号。
CREATE OR REPLACE FUNCTION taiy_verify_function (
username IN VARCHAR2,
password IN VARCHAR2,
old_password IN VARCHAR2
) RETURN BOOLEAN IS
l_min_length CONSTANT NUMBER := 8;
l_has_upper BOOLEAN := FALSE;
l_has_lower BOOLEAN := FALSE;
l_has_zm BOOLEAN := FALSE;
l_has_digit BOOLEAN := FALSE;
l_has_special BOOLEAN := FALSE;
l_char CHAR(1);
BEGIN
-- 检查密码长度
IF LENGTH(password) <= l_min_length THEN
RAISE_APPLICATION_ERROR(-20001, 'Password is too short');
END IF;
-- 遍历密码字符,检查是否包含大写字母、小写字母、数字和特殊字符
/* FOR i IN 1 .. LENGTH(password) LOOP
l_char := SUBSTR(password, i, 1);
IF REGEXP_LIKE(l_char, '[A-Z]') THEN
l_has_upper := TRUE;
ELSIF REGEXP_LIKE(l_char, '[a-z]') THEN
l_has_lower := TRUE;
ELSIF REGEXP_LIKE(l_char, '[0-9]') THEN
l_has_digit := TRUE;
ELSIF REGEXP_LIKE(l_char, '[^a-zA-Z0-9]') THEN
l_has_special := TRUE;
END IF;
END LOOP;*/
IF REGEXP_LIKE(password, '[A-Z]') THEN
l_has_upper := TRUE;
END IF;
IF REGEXP_LIKE(password, '[a-z]') THEN
l_has_lower := TRUE;
END IF;
IF l_has_upper OR l_has_lower THEN
l_has_zm := TRUE;
END IF;
IF REGEXP_LIKE(password, '[0-9]') THEN
l_has_digit := TRUE;
END IF;
IF REGEXP_LIKE(password, '[^a-zA-Z0-9]') THEN
l_has_special := TRUE;
END IF;
-- 检查是否满足所有复杂度要求
IF NOT l_has_zm OR NOT l_has_digit OR NOT l_has_special THEN
RAISE_APPLICATION_ERROR(-20002, 'Password does not meet complexity requirements');
END IF;
-- 其他检查(例如,密码不能与用户名、服务器名等相同)
-- ...
RETURN TRUE;
EXCEPTION
WHEN OTHERS THEN
RETURN FALSE;
END;
/
GRANT EXECUTE ON taiy_verify_function TO PUBLIC container=current;
create or replace function my_password_test
( username varchar2,
password varchar2,
old_password varchar2)
return boolean IS
differ integer;
begin
if not ora_complexity_check(password, chars => 8, upper => 1, lower => 1,
digit => 1, special => 1) then
return(false);
end if;
-- Check if the password differs from the previous password by at least
-- 6 characters
if old_password is not null then
differ := ora_string_distance(old_password, password);
if differ < 3 then
raise_application_error(-20033, 'The new password should differ '
|| 'from the previous password by '
|| 'at least 4 characters.');
end if;
end if;
return(true);
end;
/
GRANT EXECUTE ON my_password_test TO PUBLIC container=current;
查找资料:ORACLE的默认密码复杂度函数位置:$ORACLE_HOME/rdbms/admin下utlpwdmg.sql脚本中,有兴趣的可以看下。因此可将此函数写入该sql中,或者在任何位置执行sql创建函数即可。本文在该位置创建sql文件:taiy_verify_function.sql,赋予权限,执行。
@?/rdbms/admin/feng_verify_function.sql
/home/u01/app/oracle/product/19.3.0/dbhome_1/rdbms/admin/
-- 执行utlpwdmg.sql脚本
--"?"是一个占位符,代表Oracle的环境变量,代表Oracle的home目录。
--@ 是调用脚本标识,@后面直接写脚本的完整路径及...
执行结果:
4.3 创建新 profile: taiy_secure_profile,指定各种策略
含义:
FAILED_LOGIN_ATTEMPTS 10 --密码错误尝试次数,超过后被锁定
PASSWORD_LIFE_TIME 90 --密码有效期90天
PASSWORD_REUSE_TIME UNLIMITED --指定了口令不能重用前的天数:30天内不能重复使用旧密码
PASSWORD_REUSE_MAX UNLIMITED --重复使用旧密码的最大次数:如3
PASSWORD_LOCK_TIME 1 --登录尝试失败达到指定次数,用户锁定天数
PASSWORD_GRACE_TIME 7 /*--表示密码到期后可以延续使用的天数,
并且可延续时间内登录会有相应口令即将过期的提示。*/
PASSWORD_VERIFY_FUNCTION taiy_verify_function;
执行:
CREATE PROFILE taiy_secure_profile LIMIT
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LIFE_TIME 90
PASSWORD_REUSE_TIME UNLIMITED
PASSWORD_REUSE_MAX UNLIMITED
PASSWORD_LOCK_TIME 1
PASSWORD_GRACE_TIME 7
PASSWORD_VERIFY_FUNCTION taiy_verify_function;
4.4 将配置文件分配给特定用户,使其密码将受策略约束
执行:-- 将该配置文件分配给用户
ALTER USER NH_AML PROFILE taiy_secure_profile;
执行后,查看结果:
4.5 验证结果
[oracle@neptune admin]$ pwd
/home/u01/app/oracle/product/19.3.0/dbhome_1/rdbms/admin
提示:
试了10次密码 失败后,再次登录正确密码,提示锁定
5.知识总结
CREATE PROFILE taiy_secure_profile LIMIT
FAILED_LOGIN_ATTEMPTS 10 --密码错误尝试次数,超过后被锁定
PASSWORD_LIFE_TIME 90 --密码有效期90天
PASSWORD_REUSE_TIME UNLIMITED --指定了口令不能重用前的天数:如:30天内不能重复使用旧密码
PASSWORD_REUSE_MAX UNLIMITED --重复使用旧密码的最大次数:如3
PASSWORD_LOCK_TIME 1 --登录尝试失败达到指定次数,用户锁定天数
PASSWORD_GRACE_TIME 7 /*--表示密码到期后可以延续使用的天数,
并且可延续时间内登录会有相应口令即将过期的提示。*/
PASSWORD_VERIFY_FUNCTION taiy_verify_function;