oracle TNS Listener 远程投毒漏洞修复
有个客户在等保测评过程,测评公司扫出一个关于oracle的漏洞如下:
客户是RAC环境11.2.0.4,在生产修复漏洞前我做了如下测试验证:
测试环境准备:
- RAC一套11.2.0.4 实例名dbserver
[oracle@hisdb1 ~]$ cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
172.31.160.112 hisdb1
172.31.160.113 hisdb210.255.160.5 hisdb1-priv1
10.255.160.6 hisdb2-priv110.254.160.5 hisdb1-priv2
10.254.160.6 hisdb2-priv2172.31.160.114 hisdb1-vip
172.31.160.115 hisdb2-vip172.31.160.111 hisdb-scan
- 单机Oracle一套11.2.0.4(这里使用的是windows环境) 实例名orcl
数据库地址:172.31.160.110
测试:我们要将单机数据库远程注册到RAC服务器
- 单机数据库配置remote_listener参数
--这里注册使用的是rac节点1的public ip,之前使用的是scan_ip无法注册,具体原因未知。
SQL> alter system set remote_listener='(ADDRESS = (PROTOCOL = TCP)(HOST =172.31.160.112)(PORT = 1521))' scope=memory;
系统已更改。
SQL> alter system register;
系统已更改。
–我们这是临时注册,所以只写在内存中,重启后失效
- RAC数据库查看是否有远程注册
[grid@hisdb1 ~]$ lsnrctl services listener
图中sevice为orcl的实例remote server为远程注册,同时这个也提示存在远程注册漏洞。
- 修改RAC两节点listener.ora配置
--RAC监听配置文件位于grid用户$ORACLE_HOME/network/admin/下
--修改前做好listener.ora备份
在listener.ora中添加如下内容
VALID_NODE_CHECKING_REGISTRATION_LISTENER=ON
VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN1=ON
REGISTRATION_INVITED_NODES_LISTENER_SCAN1=(172.31.160.112,172.31.160.113,172.31.160.114,172.31.160.115,172.31.160.111)
-- REGISTRATION_INVITED_NODES_LISTENER_SCAN1参数中ip地址为RAC节点所有public_ip、vip、scan_ip
修改完监听配置文件要重启一下scan和listener
Grid用户重启监听:snrctl reload
Oracle重启scan:
srvctl stop scan
srvctl stop scan_listener
srvctl start scan
srvctl start scan_listener
- 重新测试
–将单机数据库remote_listener参数置空,或者指向别的库,重新注册一下。
–重新配置单机数据库remote_listener参数,重新注册一下。
–RAC上查看是否还有远程注册
没有显示有remote server,漏洞修复成功。
相关文章:
oracle TNS Listener 远程投毒漏洞修复
有个客户在等保测评过程,测评公司扫出一个关于oracle的漏洞如下: 客户是RAC环境11.2.0.4,在生产修复漏洞前我做了如下测试验证: 测试环境准备: RAC一套11.2.0.4 实例名dbserver [oraclehisdb1 ~]$ cat /etc/hosts …...
)
第二章:最新版零基础学习 PYTHON 教程(第一节 - Python 输入/输出–在 Python 中获取输入)
开发人员经常需要与用户交互,以获取数据或提供某种结果。如今,大多数程序都使用对话框来要求用户提供某种类型的输入。而Python为我们提供了两个内置函数来读取键盘输入。 目录 输入(提示) raw_input(提示) 输入函数在 Python 中的工作原理:...
react create-react-app v5 从零搭建项目
前言: 好久没用 create-react-app做项目了,这次为了个h5项目,就几个页面,决定自己搭建一个(ps:mmp 好久没用,搭建的时候遇到一堆问题)。 我之前都是使用 umi 。后台管理系统的项目 使用 antd-…...
2023软件测试八股文,涵盖所有面试题
Part1 1、你的测试职业发展是什么? 测试经验越多,测试能力越高。所以我的职业发展是需要时间积累的,一步步向着高级测试工程师奔去。而且我也有初步的职业规划,前3年积累测试经验,按如何做好测试工程师的要点去要求自…...
性能压力测试的定义及步骤是什么
在今天的数字化时代,软件系统的性能和稳定性对于企业的成功至关重要。为了确保软件在高负载和压力情况下的正常运行,性能压力测试成为了不可或缺的环节。本文将介绍性能压力测试的定义、步骤。 一、性能压力测试的定义和目标 性能压力测试是通过模拟实际…...
Selenium自动化中处理鼠标悬停并操作的方法
因为测试中遇到要鼠标悬停显示Tooltip,并操作tip上的内容,现记录如下。 方法一:通过鼠标链式操作 from selenium.webdriver.common.action_chains import ActionChains as ACac AC(self.driver)lst self.driver.find_element_by_xpath(//…...
python socket 编程实现猜数字
项目地址 https://gitee.com/lmk73444/learn_spring/tree/master/doc/1_x%E5%AD%A6%E4%B9%A0/002_py_socket python socket试验 mkdir /root/git_proj cd /root/git_proj# 首次 clone 项目 git clone https://gitee.com/lmk73444/learn_spring.git# 非首次 # 更新项目 cd /ro…...
20个提升效率的JS简写技巧,告别屎山!
JavaScript 中有很多简写技巧,可以缩短代码长度、减少冗余,并且提高代码的可读性和可维护性。本文将介绍 20 个提升效率的 JS 简写技巧,助你告别屎山,轻松编写优雅的代码! 移除数组假值 可以使用 filter() 结合 Bool…...
Pikachu靶场——SSRF 服务端请求伪造
文章目录 1 SSRF 服务端请求伪造1.1 SSRF(curl)1.1.1 漏洞防御 1.2 SSRF(file_get_content)1.2.1 漏洞防御1.2.3 SSRF 防御 1 SSRF 服务端请求伪造 SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能&a…...
Android file
写文件——FileOutputStream openFileOutput 读文件——FileInputStream openFileInput openFileOutput写文件时当文件不存在,Android自动创建。 通过BufferedWriter直接写入字符串 public void writeFile(String inputText) {FileOutputStream outputStream nul…...
【计算机网络】计网常见面试题总结
目录 一、谈一谈对OSI七层模型和TCP/IP四层模型的理解? 二、谈一谈TCP协议的三次握手过程? 三、TCP协议为什么要三次握手?两次、四次不行吗? 四、谈一谈TCP协议的四次挥手过程? 五、什么是流量控制? …...
SpringMVC 学习(七)JSON
9. JSON 9.1 简介 JSON(JavaScript Object Notation,JS 对象标记)是一种轻量级数据交换格式,采用独立于编程语言的文本格式储存和表示数据,易于机器解析和生成,提升网络传输效率。 任何 JavaScript 支持…...
重学C++ | std::set 的原理
std::set 是C标准库中的容器之一,它基于红黑树实现。std::set 利用红黑树的特性来实现有序的插入、查找和删除操作,并且具有较好的平均和最坏情况下的时间复杂度。 当向 std::set 插入元素时,它会按照特定的比较函数(bool less<…...
AnV-X6使用及总结
目录 1 简介2 安装3 基础概念3.1 画布Graph3.2 基类Cell3.3 节点Node3.4 边Edge 4 使用4.1 创建节点4.2 节点连线4.3 事件系统 5 总结 1 简介 AntV是一个数据可视化(https://x6.antv.antgroup.com/)的工具(https://antv.vision/zh/ …...
Go 围炉札记
文章目录 一、安装二、文档三、使用 一、安装 VSCode 和 CLion 为 Go 开发配置Visual Studio Code | Microsoft Learn VScode下配置Go语言开发环境【2023最新】 基础篇:新手使用vs code新建go项目 vscode里安装Go插件和配置Go环境 GO 笔记 Golang 配置代理 golang…...
数据分析回头看2——重复值检查/元素替换/异常值筛选
0、前言: 这部分内容是对Pandas的回顾,同时也是对Pandas处理异常数据的一些技巧的总结,不一定全面,只是自己在数据处理当中遇到的问题进行的总结。 1、当数据中有重复行的时候需要检测重复行: 方法:使用p…...
什么是OSPF?为什么需要OSPF
【微|信|公|众|号:厦门微思网络】 【微思网络www.xmws.cn,成立于2002年,专业培训21年,思科、华为、红帽、ORACLE、VMware等厂商认证及考试,以及其他认证PMP、CISP、ITIL等】 什么是OSPF? 开放式最短路径优…...
轻量级的日志采集组件 Filebeat 讲解与实战操作
文章目录 一、概述二、Kafka 安装三、Filebeat 安装1)下载 Filebeat2)Filebeat 配置参数讲解3)filebeat.prospectors 推送kafka完整配置1、filebeat.prospectors2、processors3、output.kafka 4)filebeat.inputs 与 filebeat.pros…...
C# 委托和事件
C# 委托和事件 委托匿名方法事件 委托 当要把方法传送给其他方法时,需要使用委托。首先定义要使用的委托,对于委托,定义它就是告诉编译器这种类型的委托代表了哪种类型的方法,然后创建该委托的一个或多个实例。编译器在后台将创建…...
)
数据结构与算法之字典: Leetcode 349. 两个数组的交集 (Typescript版)
两个数组的交集 https://leetcode.cn/problems/intersection-of-two-arrays/description/ 题目和解题参考 https://blog.csdn.net/Tyro_java/article/details/133279737 使用字典来解题的算法实现 字典:顾名思义,像新华字典一样可查找,基…...
Path of Building完全指南:精准规划角色构筑3步法+高效配置策略
Path of Building完全指南:精准规划角色构筑3步法高效配置策略 【免费下载链接】PathOfBuilding Offline build planner for Path of Exile. 项目地址: https://gitcode.com/gh_mirrors/pat/PathOfBuilding Path of Building是一款强大的离线工具,…...
Mellanox ZTR技术解析:如何通过RTTCC实现零配置高性能RoCE网络
1. 什么是Mellanox ZTR技术? 第一次听说Mellanox ZTR(Zero Touch RoCE)技术时,我的反应和大多数人一样:"这又是什么高大上的黑科技?"但当我真正在金融交易系统里部署它之后,才发现这可…...
)
告别裸机!用状态机思路重构你的51单片机温度监测程序(以DS18B20为例)
告别裸机!用状态机思路重构你的51单片机温度监测程序(以DS18B20为例) 在嵌入式开发中,51单片机因其简单易用、成本低廉而广受欢迎。但当项目复杂度上升时,传统的"while循环延时"式代码往往会陷入维护噩梦——…...
如何快速解放双手:MaaYuan游戏日常任务自动化完整指南
如何快速解放双手:MaaYuan游戏日常任务自动化完整指南 【免费下载链接】MaaYuan 代号鸢 / 如鸢 一键长草小助手 项目地址: https://gitcode.com/gh_mirrors/ma/MaaYuan 厌倦了每天花费大量时间在重复的游戏日常任务上吗?MaaYuan作为一款免费开源的…...
Elasticsearch-05-四种搜索方案
Elasticsearch-05-四种搜索方案详解 概述 Elasticsearch提供了多种搜索方案以满足不同的业务需求。本文档将详细介绍四种核心搜索方案:纯BM25、纯KNN、混合搜索和优化KNN参数,包括各自的适用场景、配置方法和实际应用。 方案1:纯BM25搜索 场景…...
Plausible Analytics:隐私友好型网站统计完全指南:Google Analytics替代方案
Plausible Analytics:隐私友好型网站统计完全指南:Google Analytics替代方案 背景 网站分析是网站运营优化的重要基础。Google Analytics 作为最广泛使用的网站分析工具,提供了强大的数据洞察能力。然而,GA 存在诸多问题&#x…...
如何通过SpacetimeGaussians实现实时动态视图合成:从安装到应用全指南
如何通过SpacetimeGaussians实现实时动态视图合成:从安装到应用全指南 【免费下载链接】SpacetimeGaussians [CVPR 2024] Spacetime Gaussian Feature Splatting for Real-Time Dynamic View Synthesis 项目地址: https://gitcode.com/gh_mirrors/sp/SpacetimeGau…...
2026论文写作工具红黑榜:AI论文工具怎么选?用数据说话!
2026年论文写作工具红黑榜出炉,千笔AI、ThouPen、豆包位列红榜,适配国内学术规范,助力高效科研。黑榜需避开低质免费工具、无真实引用平台及过度依赖全文生成的工具。选择时建议按需求匹配度 - 数据可信度 - 成本承受力三维模型进行评估。 一…...
学术专著不用愁!AI专著写作工具,为你打造专属学术大作
一、研究者专著写作困境与AI工具的出现 对于很多研究人员来说,写学术专著时面临的最大难题就是“有限的精力”与“无限的需求”之间的矛盾。专著的写作通常需要花费3到5年甚至更久的时间,但研究者们在日常工作中,除了教学和科研项目外&#…...
LFM2.5-1.2B-Thinking-GGUF开源镜像详解:llama.cpp免下载零配置部署
LFM2.5-1.2B-Thinking-GGUF开源镜像详解:llama.cpp免下载零配置部署 1. 模型与平台介绍 LFM2.5-1.2B-Thinking-GGUF 是由 Liquid AI 开发的轻量级文本生成模型,专为低资源环境优化设计。该镜像基于 llama.cpp 运行时构建,内置预转换的 GGUF…...