当前位置: 首页 > article >正文

【漏洞-Oracle】未设置口令复杂度校验、密码有效期

1.场景描述

三方漏洞扫描: 

2.详细描述

       安全问题:Oracle未设置系统的口令复杂度校验、密码有效期。

       危害分析结果:存在使用口令被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问的可能性。

       整改建议:建议根据需要对系统用户口令设置复杂度限制,口令的复杂度(8位以上、至少字母、数字、符号等混合组成)并更换周期进行合理设置(90天以内),不允许新设定的口令与前次旧口令相同。

       涉及对象: Oracle。 

3.方案分析

查询后得知:可通过配置密码复杂度策略解决。
       Oracle数据库通过Profile来管理密码策略。默认情况下,数据库中有一个默认Profile:DEFAULT。我们可以修改这个默认的Profile,或者创建一个新的Profile并将其应用到需要的用户中。

        在profile中可配置,通过LIMIT子句可设置多个密码策略,如密码有效期、密码错误n次后锁定用户、密码错误后锁定的天数、密码是否可和之前一样、密码可一样几次、密码到期后可使用的天数、密码复杂度等。其中,密码复杂度验证可以用默认函数,可以根据需要自定义一个密码验证函数。

            为了不影响原有用户,本文创建一个新Profile 进行测试。 步骤:

           1)创建一个新profile:taiy_secure_profile,指定各种策略。

                 创建一个新密码验证函数:taiy_verify_function(8位以上,含字母、数字、符号等)。

           2)将这个配置文件分配给特定的数据库用户,使得该用户的密码将受到这些策略的约束。

4.问题处理

4.1查询

[oracle@neptune ~]$ sqlplus / as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Thu Dec 19 22:13:13 2024
Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0

SYS@orcl> alter session set container=orclpdb1;

Session altered.

1)查看oracle 用户密码管理策略

select DISTINCT PROFILE from dba_users ;

SYS@orcl> select DISTINCT PROFILE from dba_users t ;

PROFILE
---------
DEFAULT

SYS@orcl>

 结果截图: 策略都为DEFAULT 

2)查看默认密码策略里的配置

命令:
SELECT * FROM dba_profiles WHERE resource_type='PASSWORD' ;

结果截图:

3) 查看密码复杂度校验

SELECT PROFILE,LIMIT FROM dba_profiles T WHERE resource_type='PASSWORD' AND T.resource_name='PASSWORD_VERIFY_FUNCTION'
order by 1,2

结果截图: 

 

     说明:Limit 列的值为null 表示未启用密码验证函发功能;

               如果返回值为函数名称,如:VERIFY_FUNCTION 则表示启用验证函数功能。

4.2 创建新 密码验证函数:taiy_verify_function

     密码复杂度要求:如8位以上,必须包含字母、数字、符号。

CREATE OR REPLACE FUNCTION taiy_verify_function (
    username IN VARCHAR2,
    password IN VARCHAR2,
    old_password IN VARCHAR2
) RETURN BOOLEAN IS
    l_min_length CONSTANT NUMBER := 8;
    l_has_upper BOOLEAN := FALSE;
    l_has_lower BOOLEAN := FALSE;
    l_has_zm   BOOLEAN := FALSE;
    l_has_digit BOOLEAN := FALSE;
    l_has_special BOOLEAN := FALSE;
    l_char CHAR(1);
BEGIN
    -- 检查密码长度
    IF LENGTH(password) <= l_min_length THEN
        RAISE_APPLICATION_ERROR(-20001, 'Password is too short');
    END IF;

    -- 遍历密码字符,检查是否包含大写字母、小写字母、数字和特殊字符
   /* FOR i IN 1 .. LENGTH(password) LOOP
        l_char := SUBSTR(password, i, 1);

        IF REGEXP_LIKE(l_char, '[A-Z]') THEN
            l_has_upper := TRUE;
        ELSIF REGEXP_LIKE(l_char, '[a-z]') THEN
            l_has_lower := TRUE;
        ELSIF REGEXP_LIKE(l_char, '[0-9]') THEN
            l_has_digit := TRUE;
        ELSIF REGEXP_LIKE(l_char, '[^a-zA-Z0-9]') THEN
            l_has_special := TRUE;
        END IF;
    END LOOP;*/
    
    IF REGEXP_LIKE(password, '[A-Z]') THEN
        l_has_upper := TRUE;
    END IF;
    IF REGEXP_LIKE(password, '[a-z]') THEN
        l_has_lower := TRUE;
    END IF;
    
    IF l_has_upper OR l_has_lower THEN
        l_has_zm := TRUE;
    END IF;

    IF REGEXP_LIKE(password, '[0-9]') THEN
        l_has_digit := TRUE;
    END IF;
    IF REGEXP_LIKE(password, '[^a-zA-Z0-9]') THEN
        l_has_special := TRUE;
    END IF;

    -- 检查是否满足所有复杂度要求
    IF NOT l_has_zm OR NOT l_has_digit OR NOT l_has_special THEN
        RAISE_APPLICATION_ERROR(-20002, 'Password does not meet complexity requirements');
    END IF;

    -- 其他检查(例如,密码不能与用户名、服务器名等相同)
    -- ...

    RETURN TRUE;
EXCEPTION
    WHEN OTHERS THEN
        RETURN FALSE;
END;
/

GRANT EXECUTE ON taiy_verify_function TO PUBLIC container=current;


create or replace function my_password_test
 ( username varchar2,
   password varchar2,
   old_password varchar2)
 return boolean IS
   differ integer;
begin
   if not ora_complexity_check(password, chars => 8, upper => 1, lower => 1,
                           digit => 1, special => 1) then 
      return(false);
   end if;
 
   -- Check if the password differs from the previous password by at least
   -- 6 characters
   if old_password is not null then 
      differ := ora_string_distance(old_password, password);
      if differ < 3 then
         raise_application_error(-20033, 'The new password should differ '
					|| 'from the previous password by '
					|| 'at least 4 characters.');
      end if;
   end if;
 
   return(true);
end;
/

GRANT EXECUTE ON my_password_test TO PUBLIC container=current;

     查找资料:ORACLE的默认密码复杂度函数位置:$ORACLE_HOME/rdbms/admin下utlpwdmg.sql脚本中,有兴趣的可以看下。因此可将此函数写入该sql中,或者在任何位置执行sql创建函数即可。本文在该位置创建sql文件:taiy_verify_function.sql,赋予权限,执行。

     @?/rdbms/admin/feng_verify_function.sql

/home/u01/app/oracle/product/19.3.0/dbhome_1/rdbms/admin/
-- 执行utlpwdmg.sql脚本  
--"?"是一个占位符,代表Oracle的环境变量,代表Oracle的home目录。
--@ 是调用脚本标识,@后面直接写脚本的完整路径及...

执行结果:

 

4.3 创建新 profile: taiy_secure_profile,指定各种策略

含义:
FAILED_LOGIN_ATTEMPTS 10  --密码错误尝试次数,超过后被锁定
PASSWORD_LIFE_TIME 90        --密码有效期90天
PASSWORD_REUSE_TIME UNLIMITED     --指定了口令不能重用前的天数:30天内不能重复使用旧密码
PASSWORD_REUSE_MAX  UNLIMITED     --重复使用旧密码的最大次数:如3
PASSWORD_LOCK_TIME 1      --登录尝试失败达到指定次数,用户锁定天数
PASSWORD_GRACE_TIME 7     /*--表示密码到期后可以延续使用的天数,
                          并且可延续时间内登录会有相应口令即将过期的提示。*/
PASSWORD_VERIFY_FUNCTION taiy_verify_function;          

执行: 

CREATE  PROFILE taiy_secure_profile LIMIT
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LIFE_TIME 90
PASSWORD_REUSE_TIME UNLIMITED
PASSWORD_REUSE_MAX  UNLIMITED
PASSWORD_LOCK_TIME  1
PASSWORD_GRACE_TIME 7
PASSWORD_VERIFY_FUNCTION taiy_verify_function;

4.4 将配置文件分配给特定用户,使其密码将受策略约束

执行:-- 将该配置文件分配给用户

ALTER USER NH_AML PROFILE taiy_secure_profile;

执行后,查看结果:

 

4.5 验证结果

[oracle@neptune admin]$ pwd
/home/u01/app/oracle/product/19.3.0/dbhome_1/rdbms/admin

 提示:

试了10次密码 失败后,再次登录正确密码,提示锁定

5.知识总结

CREATE PROFILE     taiy_secure_profile    LIMIT
FAILED_LOGIN_ATTEMPTS 10  --密码错误尝试次数,超过后被锁定
PASSWORD_LIFE_TIME 90        --密码有效期90天
PASSWORD_REUSE_TIME UNLIMITED     --指定了口令不能重用前的天数:

                                                                          如:30天内不能重复使用旧密码
PASSWORD_REUSE_MAX  UNLIMITED     --重复使用旧密码的最大次数:如3
PASSWORD_LOCK_TIME 1                         --登录尝试失败达到指定次数,用户锁定天数
PASSWORD_GRACE_TIME 7                    /*--表示密码到期后可以延续使用的天数,
                                                         并且可延续时间内登录会有相应口令即将过期的提示。*/
PASSWORD_VERIFY_FUNCTION taiy_verify_function;


http://www.kler.cn/a/448092.html

相关文章:

  • 【085】基于51单片机PID直流电机控制系统【Proteus仿真+Keil程序+报告+原理图】
  • 【论文复刻】新型基础设施建设是否促进了绿色技术创新的“量质齐升”—来自国家智慧城市试点的证据(C刊《中国人口·资源与环境》
  • tslib(触摸屏输入设备的轻量级库)的学习、编译及测试记录
  • 大数据机器学习算法和计算机视觉应用07:机器学习
  • 使用vcpkg安装opencv>=4.9后#include<opencv2/opencv.hpp>#include<opencv2/core.hpp>无效
  • Fastdfs V6.12.1集群部署(arm/x86均可用)
  • ELK系列-(六)Redis也能作为消息队列?(上)
  • 使用Python实现量子密钥分发:构建安全通信的未来
  • scala基础学习(数据类型)-字符串
  • Oracle筑基篇-调度算法-LRU的引入
  • 【MogDB】MogDB5.2.0重磅发布第十篇-支持PLSQL嵌套子程序
  • React:组件、状态与事件处理的完整指南
  • 软件测试之边界值分析法
  • 【分享-POI工具,Excel字段取值容错小工具】
  • 基于Controller模式部署RocketMQ集群
  • 【蓝桥杯选拔赛真题96】Scratch风车旋转 第十五届蓝桥杯scratch图形化编程 少儿编程创意编程选拔赛真题解析
  • tomcat的安装以及配置(基于linuxOS)
  • centos集群部署seata
  • Mono里运行C#脚本1
  • arXiv-2024 | 当视觉语言导航遇见自动驾驶!doScenes:基于自然语言指令的人车交互自主导航驾驶数据集
  • 【hackmyvm】eigthy 靶机wp
  • 无人机视频传输系统的通信能耗优化
  • 拷贝构造和赋值运算符重载
  • 质量小议51 - 茧房
  • 主要模型记录
  • Ubuntu系统安装MySQL