CÁC TẤN CÔNG TRÊN HỆ

QUẢN TRỊ CƠ SỞ DỮ LIỆU

POSTGRESQL Sinh viên thực hiện:
• Phan Xuân Tính
• Ngô Xuân Hà
• Nguyễn Thanh
Long
• Nguyễn Tiến Hưng
 NỘI DUNG

01
HỆ QUẢN TRỊ CƠ SỞ
02 03
DỮ LIỆU CÁC TẤN CÔNG TRÊN THỰC NGHIỆM
POSTGRESQL HỆ QUẢN TRỊ CƠ SỞ DỮ
LIỆU POSTGRESQL
Sơ lược về PostgreSQL Các kiểu tấn công trên Demo cách tấn công
PostgreSQL
01
HỆ QUẢN TRỊ CƠ SỞ
DỮ LIỆU
POSTGRESQL
 PostgreSQL là gì?
PostgreSQL là một hệ thống quản trị cơ sở dữ liệu quan hệ-đối tượng (object-
relational database management system) có mục đích chung, hệ thống cơ sở dữ liệu
mã nguồn mở tiên tiến nhất hiện nay
 Lịch sử phát triển PostgreSQL
• Có nguồn gốc từ các gói Postgres viết tại Đại học California ở Berkeley
• Từ Ingres đến Postgres (1977-1994)
• Từ Postgres đến PostgreSQL (1994-1996)
 Ưu nhược điểm của PostgreSQL

 Dễ cấu hình, thích ứng tốt,

độ tin cậy cao
 Hỗ trợ nhiều ngôn ngữ, hỗ
ƯU ĐIỂM trợ tốt với PHP và Java
 Là một phần mềm mã nguồn
mở
 Hoạt động được trên nhiều
hệ điều hành
 Cộng đồng người dùng
tương đối ít
NHƯỢC ĐIỂM
 Chậm hơn so với MySQL
 Không có tham số mặc
định trong PL/PGSQL
 So sánh các phần mềm quản trị cơ sở dữ liệu
  Mã hóa Bảo vệ Quy định mật Chứng nhận
mạng có khẩu phức tạp an toàn
Brute-force
  Windows MacOS Linux Unix nguồn gốc
DB2 có không có có DB2 có ? có có
Microsoft SQL server có không không không MSQLS có ? có có
MySQL có không không không
MySQL có có có có Oracle có có có có
Oracle có có có có PosygreSQL có không không có
PostgreSQL có có có có

Range Hash Composite List

  Độ lớn CSDL tối Độ lớn bảng tối Độ lớn hàng tối Số cột tối
đa đa đa đa cho DB2 có có có có
mỗi hàng Microsoft SQL có không không không
Server
DB2 512 TB 512 TB 32677 B 1012
MySQL có có có có
MSQLS 524258 TB 524258 TB Không giới hạn 20000
Oracle có có có có
MySQL Không giới hạn 16 TB 64 KB 4096
Postgre có có có có
Oracle Không giới hạn Không giới hạn Không giới hạn 1000
PostgreSQL Không giới hạn 332 TB 1.6 TB 1600
 02
CÁC TẤN CÔNG TRÊN
HỆ QUẢN TRỊ CƠ SỞ DỮ
LIỆU POSTGRESQL
 2.1 Lạm dụng đặc quyền quá lớn

Khi người dùng (hoặc ứng dụng) được cấp các đặc quyền truy cập
cơ sở dữ liệu vượt quá yêu cầu của chức năng công việc của họ,
các đặc quyền này có thể bị lạm dụng cho mục đích xấu.
 2.2 SQL Injection

SQL Injection là một kỹ thuật

lợi dụng những lỗ hổng về câu
truy vấn của các ứng dụng để
chèn thêm một đoạn SQL để
làm sai lệnh đi câu truy vấn ban
đầu, từ đó có thể khai thác dữ
liệu từ database.
 2.3 Leo thang đặc quyền

Leo thang đặc quyền là một

cuộc tấn công liên quan đến
việc giành được quyền truy
cập bất hợp pháp vào các
quyền hoặc đặc quyền nâng
cao, vượt quá những gì được
dự định.
 03
THỰC NGHIỆM
Cảm ơn mọi người đã
lắng nghe ♥