任何拥有版本指纹识别工具的人都可以知道 Oracle 版本。那么,除了过滤传入流量之外,还有什么方法可以隐藏 Oracle 版本吗?
答案1
有一本书叫做Oracle 黑客手册这对此进行了详细介绍。据我回忆,连接对话可以相当清楚地表明您正在与哪个数据库版本/发行版对话。但是它不会透露补丁等,而这对于潜在的渗透者来说可能更有趣/更有用。
对于数据库中的任何人来说,测试各种功能的可用性以确定主要版本号都很简单。条件编译等功能也依赖于能够提供此信息。
答案2
我不确定这有多大用处——任何黑客都会尝试最新的漏洞,所以如果您没有安装最新的季度安全更新(CPU/PSU),他很可能会成功接管您的系统。无论如何,版本信息可以从许多地方检索,例如侦听器标头、sqlplus、会话内(从 v$version 选择横幅)等。每个都可能被阻止,但黑客仍然会尝试新的漏洞,如果您没有修补,您就输了。我建议您检查一下Oracle 项目锁定 - 如何保护你的数据库环境