Loading...

Database Schema Extraction Prevention Through DBMS Error Handling

Naghdi, Sepideh | 2014

2924 Viewed
  1. Type of Document: M.Sc. Thesis
  2. Language: Farsi
  3. Document No: 46033 (19)
  4. University: Sharif University of Technology
  5. Department: Computer Engineering
  6. Advisor(s): Amini, Morteza
  7. Abstract:
  8. Nowadays large volume of sensitive data of organizations are stored in the databases. Thus, databases are attractive to the attackers to execute different types of attacks with different purposes. The useful information that attackers try to achieve in the preliminary steps of the attacks against the databases, is the database structure or schema. One of the popular approach to extract the schema of a database is to analyze the returned error messages from its DBMS. Hence, a solution to prevent schema disclosure via the error messages is customizing and modifying them. To achieve this goal, in this thesis, we propose a framework to handle and customize the error messages automatically and prevent schema revealing.To this aim, we introduce two policies; strict policy and non-strict one. In strict policy, after identifying and introducing an appropriate set of categories of error messages, each error message that is returned from a DBMS is placed in a proper category. According to the sensitive data that exist in the error messages of each category, some rules are defined to be leveraged for modifying the error messages of the category before the submission of them to the application. A general way to determine the error message category is checking the existence of some keywords in the error message. In this solution, for a given error message, a score is calculated for each category based on the predefined keywords determined for identifying the category and their weights in that category. The category with the greatest score is the category of the error message. The sensitive parts of the error message are changed according to the determined category and so structural information does not disclose via the error message. The experimental results show that the error message categorization is performed correctly (using the proposed approach) in about 95% of the queries throwing an error in Microsoft SQL Server 2012
  9. Keywords:
  10. Fault Management ; Database Security ; Database Schema Extraction ; Error Messages Customization

 Digital Object List

 Bookmark

  • 1 مقدمه
  • 2 تعاریف و اصطلاحات
    • 2‏.‏1 خطا، استثنا و مدیریت آن‌ها
    • 2‏.‏2 روش‌های سنتی مدیریت خطا
    • 2‏.‏3 مزایای استفاده از استثنا و مدیریت استثنا
    • 2‏.‏4 شِما یا ساختار پایگاه‌داده
    • 2‏.‏5 جمع بندی
  • 3 طبقه‌بندی و مدیریت خطا
    • 3‏.‏1 طبقه‌بندی خطاها
      • 3‏.‏1‏.‏1 روش طبقه‌بندی
      • 3‏.‏1‏.‏2 طبقه‌بندی خطاها در زبان‌های برنامه‌نویسی شیئ‌گرا
      • 3‏.‏1‏.‏3 طبقه‌بندی خطاها در نرم‌افزارها
      • 3‏.‏1‏.‏4 طبقه‌بندی خطاها در سیستم‌های مدیریت گردش کار
      • 3‏.‏1‏.‏5 طبقه‌بندی خطاها در سیستم‌های مدیریت پایگاه‌داده
    • 3‏.‏2 روش‌های مدیریت خطا در سیستم‌های نرم‌افزاری
      • 3‏.‏2‏.‏1 چالش‌های استفاده از مکانیزم‌های مدیریت استثنا
      • 3‏.‏2‏.‏2 اَعمال قابل انجام هنگام وقوع خطا
      • 3‏.‏2‏.‏3 روش‌های مدیریت خطا در زبان‌های برنامه‌نویسی شیئ‌گرا
      • 3‏.‏2‏.‏4 مدیریت خودکار خطا در زبان‌های برنامه‌نویسی
      • 3‏.‏2‏.‏5 روش‌های مدیریت خطا در سیستم‌های مدیریت گردش کار
      • 3‏.‏2‏.‏6 مدیریت خطا در سیستم‌های مدیریت پایگاه‌داده
    • 3‏.‏3 جمع‌بندی
  • 4 صورت مسأله و راهکارهای فعلی
    • 4‏.‏1 حملات استخراج شِمای پایگاه‌داده
    • 4‏.‏2 راه‌کارهای مقابله با حملات استخراج شِمای پایگاه‌داده
      • 4‏.‏2‏.‏1 جلوگیري از افشاي شِماي پایگاه‌داده در سطح برنامه‌هاي کاربردي
      • 4‏.‏2‏.‏2 جلوگیري از افشاي شِماي پایگاه‌داده در سطح سمپاد
    • 4‏.‏3 جمع‌بندی
  • 5 طبقه‌بندی و راهکار پیشنهادی در مدیریت خطاهای نشت‌دهنده‌ی اطلاعات
    • 5‏.‏1 طبقه‌بندی خطاهای نشت‌دهنده‌ی اطلاعات ساختاری
      • 5‏.‏1‏.‏1 طبقه‌بندی خطاها از دیدگاه علت وقوع خطا
      • 5‏.‏1‏.‏2 طبقه‌بندی خطاها از دیدگاه دامنه‌ی افشای اطلاعات ساختاری
    • 5‏.‏2 چارچوب پیشنهادی به منظور مدیریت خودکار خطا
      • 5‏.‏2‏.‏1 ثبت جزئیات پیغام‌های خطا
    • 5‏.‏3 رویکردهای پیشنهادی برای سیستم مدیریت پیغام خطا
      • 5‏.‏3‏.‏1 سفارشی‌سازی پیغام‌های خطا در زمان اجرا
      • 5‏.‏3‏.‏2 سفارشی‌سازی پیغام‌های خطا پیش از شروع به کار سیستم
      • 5‏.‏3‏.‏3 رویکرد ترکیبی
      • 5‏.‏3‏.‏4 مقایسه‌ی سه رویکرد مطرح شده
    • 5‏.‏4 بیان صوری قالب پیغام‌های خطا
      • 5‏.‏4‏.‏1 بیان صوری قالب پیغام‌های خطا در سمپاد MSSQL
      • 5‏.‏4‏.‏2 بیان صوری قالب پیغام‌های خطا در سمپاد PostgreSQL
    • 5‏.‏5 سیاست‌های مدیریت خطا و بیان صوری آن‌ها
      • 5‏.‏5‏.‏1 سیاست غیرسخت‌گیرانه
      • 5‏.‏5‏.‏2 سیاست سخت‌گیرانه
      • 5‏.‏5‏.‏3 سیاست سفارشی‌سازی مبتنی بر مجوزهای دسترسی
    • 5‏.‏6 مدیریت خطای مبتنی بر محتوای پیغام خطا
      • 5‏.‏6‏.‏1 تعیین کلیدواژه‌ها
      • 5‏.‏6‏.‏2 تعیین وزن کلیدواژه‌ها
      • 5‏.‏6‏.‏3 انجام عملیات پیش‌پردازش
      • 5‏.‏6‏.‏4 امتیازدهی و تعیین دسته‌ی پیغام خطا
    • 5‏.‏7 جمع‌بندی
  • 6 پیاده‌سازی و ارزیابی رویکرد پیشنهادی
    • 6‏.‏1 ارزیابی روش پیشنهادی
      • 6‏.‏1‏.‏1 ارزیابی درستی تعیین دسته‌ی پیغام خطا (ارزیابی دقت)
      • 6‏.‏1‏.‏2 ارزیابی زمان پاسخ
    • 6‏.‏2 چالش‌های روش پیشنهادی
    • 6‏.‏3 جمع‌بندی
  • 7 جمع‌بندی و سوی کارهای آتی
    • 7‏.‏1 سوی کارهای آتی
  • کتاب‌نامه
  • واژه‌نامه‌ی فارسی به انگلیسی
  • واژه‌نامه‌ی انگلیسی به فارسی
...see more