数据库安全

Oracle密码存储和验证过程剖析及防御建议
Oracle作为目前市场占有率第一的数据库产品，相比其他数据库产品，自身存在的漏洞数量也是同类产品之中最多的，而且还在增长。由此，我们可以预见，数据库安全问题也将长期存在。

SQL Server 2016:Always Encrypted安全特性测试
在《三步配置Always Encrypted安全功能》一文中，我们已经介绍如何创建了包含加密列的表，接下来我们可以使用SQL Server导入导出向导来复制该表的数据，然后进一步验证一下数据副本是否是加密状态。

数据库防火墙如何防范SQL注入行为
一、SQL注入简介什么是SQL注入SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。现有主流应用大多基于B/S架构开发，SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。将SQL命令巧妙的插入通讯的交互过程中，如：Web表单的递交、域名输入、页面请求等。通过硬性植入的查询语句攻击数据库，以期利用服务器自身缺陷执行恶意的SQL命令，从而入侵数据库。因此通过SQL注入攻击方式产生的安全事件也在增多，对系统的危害性极大。

我是如何打造一款自动化SQL注入工具的
0×01 前言各位看官看到标题吐槽帝就开始了：已经有了各种各样的注入工具,为什么还要手工打造一个?

使用exp进行SQL报错注入
0x01 前言概述好消息好消息～作者又在MySQL中发现了一个Double型数据溢出。如果你想了解利用溢出来注出数据，你可以读一下作者之前发的博文：BIGINT Overflow Error based injections，drops上面也有对应翻译，具体见这里。当我们拿到MySQL里的函数时，作者比较感兴趣的是其中的数学函数，它们也应该包含一些数据类型来保存数值。所以作者就跑去测试看哪些函数会出现溢出错误。然后作者发现，当传递一个大于709的值时，函数exp()就会引起一个溢出错误。

逆向路由器固件之SQL注入：web应用上的漏洞
在前面的内容中，我们使用TEW-654TR路由器的tftp服务实现了获取目标的管理权限。但是要是tftp没有开放到外网怎么办?另寻他径：在这一篇中会我们来分析一个web应用上的漏洞。

如何大幅提高加密数据库的安全性
数据库加密越来越常见，但与此同时还是有一些因缺乏加密而造成重要数据泄漏的情况。姑且认为你已经部署了所有的安全措施，并且开发进程中的每一步都经过深思熟虑;开发出的web应用程序也有足够的能力对抗跨站脚本攻击、SQL注入和其他常见的web漏洞;并且熟知所有的安全计划(OWASP)条款，也知道对所有的传输数据、敏感数据库、数据库中的敏感字段加密。但接下来你会将加密密钥放在哪里呢?有没有使用硬件安全模块(HSM)?大多数企业都没有使用HSM，其实为了安全他们应该都要使用的。存储明文密码就相当于将钥匙放在门垫上，完全没有安全意识。

Sqlmap进阶:定制payload加速boolean-based注入
文中提及的部分技术可能带有一定攻击性，仅供安全学习和教学用途，禁止非法使用。