Labs OWASP: Pruebas del receptor de escucha de la Base de Datos, Integrigy Listener Oracle

El receptor de escucha de la base de datos es un demonio de red específico de las bases de datos Oracle. Este programa se encuentra a la escucha en espera de peticiones de conexión de clientes remotos. Este demonio puede ser comprometido y afectar con ello la disponibilidad de la base de datos.

El receptor de escucha es el punto de entrada a conexiones remotas a una base de datos Oracle. Escucha peticiones de conexión y realiza la gestión acorde de las mismas. Esta comprobación es posible si la persona a cargo de las pruebas puede acceder a este servicio -- la comprobación debería ser realizada desde la Intranet (la mayoría de instalaciones de Oracle no exponen este servicio a la red externa).

El receptor escucha en el puerto 1521 por defecto (el puerto 2483 es el nuevo puerto oficialmente registrado para el receptor TNS y el 2484 para el receptor TNS Listener usando SSL). Es una buena práctica cambiar el receptor de este puerto a un número de puerto arbitrario. Si el receptor está "apagado" el acceso remoto a la base de datos no es posible. Si este es el caso, la aplicación fallaría, creando también un ataque de denegación de servicio.

Integrigy AppSentry Listener Check for the Oracle Database:

AppSentry Listener Security Check es una herramienta desarrollada para chequear las configuraciones de seguridad de los receptores de escucha y aplicaciones de la base de datos Oracle. (Más información...)

En el siguiente video tutorial se muestra el procedimiento de descubrimiento del servicio de escucha de Oracle y la ejecución de algunas pruebas al receptor haciendo uso de la herramienta Listener Security Check.

Link:

Descargar video tutorial de pruebas al listener de Oracle (Password: www.dragonjar.org)