simulation d'une attaque sur une base oracle

Version imprimable

07/04/2010, 23h41
isoman

simulation d'une attaque sur une base oracle
Salut a tous,
j'ai comme projet la simulation d'une attaque sur une bd oracle . J'ai réussi a réaliser un audit sur la base a travers ces 2 commandes
Code:

1 2 AUDIT ALL BY ACCESS; AUDIT EXECUTE PROCEDURE BY ACCESS;
je consulte ensuite la table sys.aud$ pour voir les différentes action effectué par les utilisateurs mais j'arrive pas a réaliser quelques trucs :
- comment connaitre si a la connexion d'un user a la bd a échoué plusieurs fois ?
- Comment annuler une opération effectué par un utilisateur (en ayant accès au données de la table sys.aud$) sans réaliser un rollback complet de la base ?
N'importe quelle idée/piste peut m'être d'une grande valeur .
Cordialement

Pour ma part, voici ce que j'audite :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 AUDIT SESSION ; AUDIT INSERT ON DBA_EXP_FILES; AUDIT CREATE SNAPSHOT; AUDIT CREATE MATERIALIZED VIEW; AUDIT CREATE DATABASE LINK; AUDIT ALTER SYSTEM; AUDIT SYSTEM AUDIT; AUDIT INSERT, UPDATE, DELETE ON sys.aud$ BY ACCESS; AUDIT SYSTEM GRANT; AUDIT SYSDBA BY ACCESS; AUDIT NOT EXISTS; AUDIT CREATE PROCEDURE; AUDIT CREATE TRIGGER; AUDIT ALTER DATABASE; AUDIT SYSOPER BY ACCESS; AUDIT USER BY ACCESS;
Ensuite,
les traces des connexions non abouties
Code:

1 2 3 4 5 6 SELECT os_username, username, terminal, sessionid, action_name, to_char(timestamp,'DD-MON-YY HH24:MI:SS') LOGIN, to_char(logoff_time,'DD-MON-YY HH24:MI:SS') LOGOFF FROM dba_audit_session WHERE action_name='LOGON' AND returncode='1017';
Audit est un outil de trace, il ne peut bloquer une action sur la base.

Le FGA (Fine-Grained Auditing) permet d'audit des actions (SELECT, UPDATE et DELETE), et même des UPDATE sur une colonne particulière. Le FGA founit plus d'information quoiqu'en 10g l'AUDIt est plus complet.

08/04/2010, 09h13
Laurent_du_78

Autre point, la table sys.aud$ se situe par défaut dans le tbs SYSTEM (ou SYAUX je ne sais plus). L'activation de l'audit va charger cette table, donc :
- déplacer cette table dans un tbs dédié
- purger régulièrement cette table.
11/04/2010, 14h49
isoman

Merci pour ton aide , j'arrive enfin a simuler mon attaque , mais il me reste juste un truc a faire , comment faire pour avoir l'historique des requêtes select d'utilisateur ?
la table dba_audit_session ne contient que le log des connexion/deconnexion a la base .
Merci d'avance.
11/04/2010, 16h59
Doracle

Citation:

Envoyé par Laurent_du_78

Le FGA (Fine-Grained Auditing) permet d'audit des actions (SELECT, UPDATE et DELETE), et même des UPDATE sur une colonne particulière. Le FGA founit plus d'information quoiqu'en 10g l'AUDIt est plus complet.

En voici un exemple tiré de la doc officielle :
http://download.oracle.com/docs/cd/B...htm#sthref1772