| 점검내용 | Object Owner가 인가된 계정에게만 존재하는지 점검 |
| 점검목적 | Object Owner가 비인가자에게 존재하고 있을 경우 이를 제거하기 위함 |
| 보안위협 | Object Owner는 SYS, SYSTEM과 같은 데이터베이스 관리자 계정과 응용프 로그램의 관리자 계정에만 존재하여야 하며, 일반 계정이 존재할 경우 공격 자가 이를 이용하여 Object의 수정, 삭제가 가능함 |
| 판단기준 | 양호 : Object Owner가 SYS, SYSTEM, 관리자 계정 등으로 제한된 경우 |
| 취약 : Object Owner가 일반 사용자에게도 존재하는 경우 | |
| 조치방법 | Object Owner를 SYS, SYSTEM, 관리자 계정으로 제한 설정 |
<점검방법>
1. Oracle
- 설정 확인
- 권한 취소 ( SQL> REVOKE 권한 on 객체 FROM User; )
2. Altibase
- 사용자에게 부여된 객체 권한 정보를 확인
- 부여된 권한 ID를 확인하여 불필요 권한은 회수
3. Tibero
- 데이터베이스 내 모든 스키마 객체 특권의 정보를 조회하여 인가받지 않은 객체 권한 소유자가 있는지 확인
- 잘못된 객체 권한 소유자 발견 시 해제
4. PostgreSQL
- 객체 권한 정보 확인
- 잘못된 객체 권한 소유자 발견 시 해제
'DBMS 취약점 > 옵션관리' 카테고리의 다른 글
| 3. 옵션관리 / 3.5 인가되지 않은 GRANT OPTION 사용 제한 (중요도:중) (0) | 2025.03.10 |
|---|---|
| 3. 옵션관리 / 3.3 패스워드 확인함수가 설정되어 적용 (중요도:중) (0) | 2025.03.10 |
| 3. 옵션관리 / 3.1 응용프로그램 또는 DBA 계정의 Role 이 Public으로 설정되지 않도록 설정 (중요도:상) (0) | 2025.03.04 |