赤裸裸的更改oracle用户密码
 |
taoyexinchen
2011-02-24
最近发现oracle的用户登录密码竟然可以随意更改尽管你不知道原来的密码是什么,操作如下:
进入cmd,输入plsql / as sysdba; alter user 用户名 identify by 密码(随便); 这样就能改掉用户的密码也太随意了吧,假如我进别人装有oracle的机子上改密码,那别人不是很惨咯!我试过了确实可以! |
 |
czmmiao
2011-02-24
首先是sqlplus / as sysdba;不是plsql / as sysdba;
 第二,oracle认为如果操作系统本身就不安全,数据库何来安全性。采用sqlplus / as sysdba连接数据库是采用操作系统验证的方式进行连接的。你没发现你根本没输入用户密码吗?即使sqlplus aa/bb as sysdba也可以以sysdba身份登录,你可以试试。之所以能这样进行连接是因为oracle认为操作系统的安全性是数据库安全的前提。既然你已经以sysdba用户登录到数据库中了,能修改任意用户的密码也没什么好大惊小怪的! |
 |
syx278250658
2011-11-10
楼上分析很 有道理啊 实际上何苦该密码啊 硬盘直接下走 哈哈
|
|
xzk3761
2012-05-31
sqlplus / as sysdba只是在你安装数据库的那台机子可以,你可以试试远程.
不过有些问题确实是安装时要注意的,比如有些默认的有DBA权限的用户,如scott tiger,如果不去掉,远程改你密码太容易了 |
 |
yifansc
2012-06-05
既然都已经 conn sys as sysdba了,肯定有修改其他用户密码的权力,而且sysdba可以不输入密码直接进入,没什么好奇怪的。
|
 |
Jcat
2013-03-28
能进你家大门的人,已经拥有了点燃煤气把整个屋子炸了的权限。
所以卧室是否上锁已经不重要了。 |
