DBSAT – Oracle Database Security Assessment Tool

O DBSAT é uma ferramenta da própria Oracle para detectar vulnerabilidades e riscos de segurança no Oracle Database, e está disponível pelo MOS, Doc ID 2138254.1.

Seu uso é muito simples. Basta baixar, descompactar, e executar um script duas vezes. A primeira execução é para coleta de dados, e a segunda execução é para criar um relatório HTML baseado na coleta executada, mostrando quais são as vulnerabilidades encontradas.

[oracle@nerv10 dbsat]$ ls -lh
total 192K
-rw-r--r--. 1 oracle oinstall 191K Jun  1 10:39 dbsat.zip
[oracle@nerv10 dbsat]$ unzip -q dbsat.zip
[oracle@nerv10 dbsat]$ ls
dbsat  dbsat.bat  dbsat.zip  sat_analysis.py  sat_collector.sql  sat_reporter.py  xlsxwriter
[oracle@nerv10 dbsat]$ echo $ORACLE_SID
CATALOGO
[oracle@nerv10 dbsat]$ ./dbsat collect -n "/ as sysdba" /tmp/collect_result

This tool is intended to assist in you in identifying potential
vulnerabilities in your system, but you are solely responsible for
your system and the effect and results of the execution of this tool
(including, without limitation, any damage or data loss). Further,
the output generated by this tool may include potentially sensitive
system configuration data and information that could be used by a
skilled attacker to penetrate your system. You are solely responsible
for ensuring that the output of this tool, including any generated
reports, is handled in accordance with your company's policies.

Connecting to the target Oracle database...


SQL*Plus: Release 12.1.0.2.0 Production on Wed Jun 1 10:47:32 2016

Copyright (c) 1982, 2014, Oracle.  All rights reserved.


Connected to:
Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Advanced Analytics
and Real Application Testing options

Setup complete.
SQL queries complete.
OS commands complete.
Disconnected from Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Advanced Analytics
and Real Application Testing options
DBSAT Collector completed successfully.

[oracle@nerv10 dbsat]$ ./dbsat report -n /tmp/collect_result

This tool is intended to assist in you in identifying potential
vulnerabilities in your system, but you are solely responsible for
your system and the effect and results of the execution of this tool
(including, without limitation, any damage or data loss). Further,
the output generated by this tool may include potentially sensitive
system configuration data and information that could be used by a
skilled attacker to penetrate your system. You are solely responsible
for ensuring that the output of this tool, including any generated
reports, is handled in accordance with your company's policies.

DBSAT Reporter ran successfully.

[oracle@nerv10 dbsat]$ ls -lh /tmp/collect_result.*
-rw-------. 1 oracle oinstall 117K Jun  1 10:49 /tmp/collect_result.html
-rw-------. 1 oracle oinstall 131K Jun  1 10:48 /tmp/collect_result.json
-rw-------. 1 oracle oinstall  77K Jun  1 10:49 /tmp/collect_result.txt
-rw-------. 1 oracle oinstall  19K Jun  1 10:49 /tmp/collect_result.xlsx
[oracle@nerv10 dbsat]$

01

00

02
03

14 comments

  1. Portilho, mestre, como sempre, só conteúdo muito útil, nao saio daqui viu…. abracos e vamos trabalhar ne…..

  2. Só um comentário sobre o DBSAT, eu tentei rodar num Windows 10 aqui, com banco 11GR2, e encontrei um probleminha durante o report. O arquivo sat_reporter.py tem um erro num formatação de uma string com um formato não suportado para Windows, então se vc tentar rodar direto, vai dar erro.

    Nas linhas 4097 e 4098 constam o seguinte:

    ————————————————————–
    4097
    min_date = format_date(read_date(data[0][min_idx]), ‘%b %-d %Y’)

    4098
    max_date = format_date(read_date(data[0][max_idx]), ‘%b %-d %Y’)
    —————————————————————-

    Só que o “%-d” não é suportado. Para funcionar, retire o hífen deixando somente “%d”, após essa alteração o report irá funcionar sem problemas no Windows.

    Valeu pelo post Ricardo, voce como sempre mandando muito bem. O DBSAT é muito útil para análise de segurança 😀

    Abrassssss

    1. Obrigado pela contribuição José!
      Eu não testei em Windows ainda, vou fazer essa modificação.
      Pela data da note no MOS, essa ferramenta parecia ser nova.

      1. peguei um ambiente unix pra rodar o DBSAT e não tinha python, aí achei mais fácil trazer o collect pra minha máquina e rodar localmente no windows mesmo, aí não precisei me preocupar com o python em outros lugares 🙂

        Como voce disse, pela data a ferramenta é nova mesmo, mas duvido que tem uns loko que roda no windows…hehehehe… Outra coisa que vi nos testes também (e isto está na documentação do DBSAT) é que o coletor em Windows não pega informações de SO, pois não é suportado.

        Vlw.

        1. Obrigado pela contribuição José.
          Isso mostra que realmente a ferramenta é nova, e parece só estar rodando limpo em Linux.

    1. Eu evito ao máximo links, pois links mudam.
      O próprio MOS já mudou até de plataforma desde que tenho este Blog.
      Já números de nota, não mudam.

Deixe uma resposta para Ribas Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.