취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보(패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인하기 위함 ■ 보안 위협 - DB 관리나 운용에 상요하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호: 패스워드를 주기적으로 변경하고, 패스워드 정책이 적용되어 있는 경우 - 취약: 패스워드를 주기적으로 변경하지 않거나, 패스워드 정책이 없는 경우 ■ 조치 방법 ○ Oracle 1. 불필요한 Demonstration 계정 및 오브젝트 삭제 SQL> DROP USER ‘삭제할 계정' 2. 계정 잠금..
취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인하기 위함 ■ 보안 위협 - Oracle : 데이터베이스의 기본 계정(system, scott 등)의 패스워드 또는, 접근제어 정책을 변경하지 않고 사용할 경우 공격자는 알려진 정보를 이용하여 데이터베이스에 쉽게 접근할 수 있는 취약점이 존재함. - MSSQL : sa 계정 null 암호 취약점은 비인가자에 의해 sa 계정으로 데이터베이스에 침입하여 정보 삭제, 변경 등의 행위를 할 수 있는 위험이 있음. - MySQL : root 계정의 패스워드가 디폴트 설정 값인 null을 사용할 경우, 시스템에 접근한 임의의 모든 ..
