研究人员Martinez Fayo最近发现，部分版本Oracle数据库在认证协议中存在数个漏洞，可以使攻击者通过暴力破解服务器提供的token优先登录认证和决定用户的密码。

Martinez Fayo和他的团队在2010年5月第一次向Oracle提交了这些bug。Oracle在2011年中期通过11.2.0.3补丁修复了这个问题。”但是他们没有修复最新的版本，所以11.1和11.2仍然存在这个漏洞。“Martinez Fayo说，并且Oracle没有计划修复这些版本。

”只要攻击者拥有一个Session Key和一个Salt（和Session Key一起由服务器送出），攻击者就可以通过每秒数百万次的暴力尝试直至获取他们。这非常类似于SHA-1 密码Hash破解。值得一提的是，彩虹表在这里并没有用因为在密码Hash生成的时候有Salt，但是通过GPU加上类似于 Dictionary hybrid攻击可以使我们更有效率。"