Атаки на уровне СУБД.

 В число наиболее простых задач защиты информации входит задача защиты базы данных.

Это обусловлено тем, что базы данных имеют четкую  внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще.

Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Вот некоторые случаи:

• если в АБС используется СУБД, защита которой недостаточно надежна;
• если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении;
• если администраторы базы данных допускают грубые ошибки при определении политики безопасности.

Кроме того, известны две атаки СУБД, для защиты от которых требуются специальные меры. К ним относятся:

• “атака салями”, когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету хакера);
• статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись.

Для реализации атаки на СУБД хакер должен как минимум являться пользователем СУБД.