[DBMS/옵션관리] 인가되지 않은 Object Owner 의 제한 (D-20)

인가되지 않은 Object Owner 의 제한

 

취약점 개요

■ 위험도
- 하

■ 점검 목적
- Object Owner가 비인가자에게 존재하고 있을 경우 이를 제거하기 위함

■ 보안 위협
- Object Owner는 SYS, SYSTEM과 같은 데이터베이스 관리자 계정과 응용 프로그램의 관리자 계정에만 존재하여야 하며, 일반 계정이 존재할 경우 공격자가 이를 이용하여 Object의 수정, 삭제가 가능합

점검 및 조치 방법

■ 판단 기준
- 양호 : Object Owner가 SYS, SYSTEM, 관리자 계정 등으로 제한한 경우
- 취약 : Object Owner가 일반 사용자에게도 존재하는 경우

■ 조치 방법
- Object Owner를 SYS, SYSTEM, 관리자 계정으로 제한 설정

 

Oracle

Step 1) 설정 확인 (SQL*PLUS)

Step 2) 권한 취소 (SQL *PLUS)

 

Altibase

Step 1) 사용자에게 부여된 객체 권한 정보를 확인

Step 2) 부여된 권한 ID 를 확인하여 불필요 권한은 회수

 

 

Tibero

Step 1) 데이터베이스 내 모든 스키마 객체 특권의 정보를 조회하여 인가받지 않은 객체 권한 소유자가 있는지 확인

Step 2) 잘못된 객체 권한 소유자 발견 시 해제

■ 용어 설명 / 팁
Object(객체) : ALTER, DELETE, EXCUTE, INDEX, INSERT, SELECT 등을 말함