Συγγραφέας:
Lewis Jackson
Ημερομηνία Δημιουργίας:
9 Ενδέχεται 2021
Ημερομηνία Ενημέρωσης:
1 Ιούλιος 2024
Περιεχόμενο
Ο καλύτερος τρόπος για να βεβαιωθείτε ότι μια βάση δεδομένων είναι ασφαλής από τους χάκερ είναι να σκέφτεστε σαν χάκερ. Εάν ήσασταν χάκερ, τι είδους πληροφορίες θα αναζητούσατε; Τι θα κάνετε για να λάβετε αυτές τις πληροφορίες; Υπάρχει μια ποικιλία μεθόδων για hacking διαφορετικών τύπων βάσεων δεδομένων, αλλά οι περισσότεροι hackers θα προσπαθήσουν να σπάσουν κωδικούς πρόσβασης υψηλού επιπέδου ή να ξεκινήσουν επιθέσεις βάσης δεδομένων. Εάν είστε εξοικειωμένοι με τις εντολές SQL και κατανοείτε βασικές γλώσσες προγραμματισμού, μπορείτε να δοκιμάσετε να κάνετε hacking μια βάση δεδομένων.
Βήματα
Μέθοδος 1 από 3: Με έγχυση SQL
Προσδιορίστε αδύνατα σημεία της βάσης δεδομένων. Πρέπει να είστε σε θέση να χειριστείτε τις εντολές της βάσης δεδομένων πολύ πριν μπορέσετε να εφαρμόσετε αυτήν τη μέθοδο. Αρχικά, ανοίξτε την οθόνη σύνδεσης διεπαφής ιστού βάσης δεδομένων στο πρόγραμμα περιήγησης και πληκτρολογήστε ’ (απόστροφο) στο πεδίο ονόματος χρήστη. Κάντε κλικ στο «Σύνδεση». Εάν εμφανιστεί το σφάλμα "Εξαίρεση SQL: συμβολοσειρά που δεν έχει τερματιστεί σωστά" ή "μη έγκυρος χαρακτήρας", η βάση δεδομένων είναι εύκολο να παραβιαστεί. Τεχνική έγχυσης SQL.
Βρείτε τον αριθμό των στηλών. Επιστρέψτε στη σελίδα σύνδεσης της βάσης δεδομένων (ή οποιαδήποτε άλλη διεύθυνση URL που τελειώνει με "id =" ή "catid =") και κάντε κλικ στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Μετά τη διεύθυνση URL, πατήστε το κενό και πληκτρολογήστεπαραγγελία κατά 1 και στη συνέχεια πατήστε ↵ Εισαγάγετε. Αυξήστε σε 2 και πατήστε ↵ Εισαγάγετε. Συνεχίστε να αυξάνετε έως ότου λάβετε ένα σφάλμα. Ο πραγματικός αριθμός στήλης είναι ο αριθμός που έχει εισαχθεί πριν από τον αριθμό που το σύστημα αναφέρει σφάλμα.
Βρείτε τη στήλη για να αποδεχτείτε τη μεταβλητή. Στο τέλος του URL στη γραμμή διευθύνσεων, αλλάξτε τοcatid = 1 καλόid = 1 γίνεταιcatid = -1 ήid = -1.Πατήστε το διάστημα και τον τύποένωση επιλέξτε 1,2,3,4,5,6 (εάν υπάρχουν 6 στήλες). Πρέπει να εισαγάγετε αριθμούς σε αύξουσα σειρά έως τον συνολικό αριθμό στηλών και να διαχωρίσετε με κόμματα. Τύπος ↵ Εισαγάγετε, ο αριθμός κάθε στήλης θα δεχτεί τη μεταβλητή.
Εισάγετε τη δήλωση SQL στη στήλη. Για παράδειγμα, εάν θέλετε να μάθετε τον τρέχοντα χρήστη και να εισαγάγετε το περιεχόμενο στη στήλη 2, διαγράψτε όλα μετά το τμήμα id = 1 στη διεύθυνση URL και πατήστε το κενό. Στη συνέχεια εισάγετεένωση επιλέξτε 1, concat (χρήστης ()), 3,4,5,6- και πατήστε ↵ Εισαγάγετε, το τρέχον όνομα χρήστη της βάσης δεδομένων θα εμφανιστεί στην οθόνη. Επιλέξτε την εντολή SQL για να λάβετε τις πληροφορίες που χρειάζεστε, όπως μια λίστα ονομάτων χρήστη και κωδικών πρόσβασης για να σπάσετε. διαφήμιση
Μέθοδος 2 από 3: Σπάσιμο του κωδικού πρόσβασης υψηλού επιπέδου της βάσης δεδομένων
Προσπαθήστε να συνδεθείτε ως προχωρημένος χρήστης με τον προεπιλεγμένο κωδικό πρόσβασης. Ορισμένες βάσεις δεδομένων δεν έχουν τον κύριο κωδικό πρόσβασης (διαχειριστής - διαχειριστής) από προεπιλογή, επομένως μπορείτε να αφήσετε κενό το πεδίο κωδικού πρόσβασης. Άλλοι έχουν προεπιλεγμένους κωδικούς πρόσβασης που βρίσκονται εύκολα στα φόρουμ τεχνικής υποστήριξης σχετικά με τη βάση δεδομένων.
Δοκιμάστε δημοφιλείς κωδικούς πρόσβασης. Εάν ο διαχειριστής προστατεύει με κωδικό πρόσβασης έναν λογαριασμό (πολύ συνηθισμένος), μπορείτε να δοκιμάσετε κοινές φράσεις συνδυασμού ονόματος χρήστη / κωδικού πρόσβασης. Ορισμένοι χάκερ δημοσιεύουν μια λίστα κωδικών πρόσβασης που σπάνε κατά τη χρήση εργαλείων ελέγχου. Δοκιμάστε μερικούς συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης.
- Η σελίδα https://github.com/danielmiessler/SecLists/tree/master/Passwords είναι διάσημη για τη λίστα των κωδικών πρόσβασης που συλλέγουν οι χάκερ.
- Η χειροκίνητη εκτίμηση του κωδικού πρόσβασης μπορεί να πάρει χρόνο, αλλά μπορείτε να τον δοκιμάσετε πριν εφαρμόσετε πιο περίπλοκους τρόπους, καθώς δεν κοστίζει τίποτα.
Χρησιμοποιήστε ένα εργαλείο ελέγχου κωδικού πρόσβασης. Μπορείτε να χρησιμοποιήσετε μια ποικιλία εργαλείων για να δοκιμάσετε χιλιάδες συνδυασμούς λεξιλογίου και γραμμάτων / αλφαριθμητικών με βίαια επίθεση έως ότου σπάσει ο κωδικός πρόσβασης.
- Το DBPwAudit (για Oracle, MySQL, MS-SQL και DB2) και Access Passview (για MS Access) είναι δημοφιλή εργαλεία ελέγχου κωδικού πρόσβασης που μπορούν να λειτουργήσουν στις περισσότερες βάσεις δεδομένων. Μπορείτε επίσης να κάνετε αναζήτηση στο Google για νεότερα εργαλεία ελέγχου κωδικού πρόσβασης που είναι ειδικά για συγκεκριμένες βάσεις δεδομένων. Για παράδειγμα, εάν κάνετε hacking στη βάση δεδομένων της Oracle, αναζητήστε τη λέξη-κλειδί
εργαλείο ελέγχου κωδικού πρόσβασης oracle db. - Εάν έχετε λογαριασμό στο διακομιστή που φιλοξενεί τη βάση δεδομένων, μπορείτε να εκτελέσετε ένα εργαλείο κατακερματισμού όπως ο John the Ripper για να αποκρυπτογραφήσετε το αρχείο κωδικού πρόσβασης βάσης δεδομένων. Η θέση του αρχείου κατακερματισμού θα διαφέρει από βάση δεδομένων σε βάση δεδομένων.
- Λήψη εργαλείων μόνο από ιστότοπους που εμπιστεύεστε. Πραγματοποιήστε μια διαδικτυακή έρευνα σχετικά με το εργαλείο της επιλογής σας προτού το χρησιμοποιήσετε.
- Το DBPwAudit (για Oracle, MySQL, MS-SQL και DB2) και Access Passview (για MS Access) είναι δημοφιλή εργαλεία ελέγχου κωδικού πρόσβασης που μπορούν να λειτουργήσουν στις περισσότερες βάσεις δεδομένων. Μπορείτε επίσης να κάνετε αναζήτηση στο Google για νεότερα εργαλεία ελέγχου κωδικού πρόσβασης που είναι ειδικά για συγκεκριμένες βάσεις δεδομένων. Για παράδειγμα, εάν κάνετε hacking στη βάση δεδομένων της Oracle, αναζητήστε τη λέξη-κλειδί
Μέθοδος 3 από 3: Επίθεση βάσης δεδομένων.
Βρείτε το exploit για εκτέλεση. Το Sectools.org είναι ένας γενικός κατάλογος εργαλείων ασφαλείας (συμπεριλαμβανομένου του exploit) που λειτουργεί για περισσότερα από δέκα χρόνια. Το εργαλείο τους είναι αρκετά αξιόπιστο και χρησιμοποιείται από πολλούς διαχειριστές συστήματος σε όλο τον κόσμο για να ελέγξει την ασφάλεια του δικτύου. Περιηγηθείτε στον κατάλογο «Εκμετάλλευση» (ή σε άλλο αξιόπιστο ιστότοπο) για ένα εργαλείο ή αρχείο κειμένου που θα μπορούσε να σας βοηθήσει να επιτεθείτε στην ευπάθεια ασφαλείας μιας βάσης δεδομένων.
- Μια άλλη σελίδα αξιοποίησης είναι www.exploit-db.com. Μεταβείτε στον παραπάνω ιστότοπο και κάντε κλικ στο σύνδεσμο Αναζήτηση για να αναζητήσετε τον τύπο της βάσης δεδομένων που θέλετε να χαράξετε (π.χ. "oracle"). Εισαγάγετε τον κωδικό Captcha στο παρεχόμενο πλαίσιο και αναζητήστε.
- Πρέπει να μελετήσετε προσεκτικά όλο το exploit θα προσπαθήσει να είναι σε θέση να διαχειριστεί σε περίπτωση που προκύψει πρόβλημα.
Βρείτε ευάλωτα δίκτυα για πρόσβαση (προφυλάξεις). Το Wardriving είναι η πράξη οδήγησης αυτοκινήτου (ακόμα και ποδηλασίας ή πεζοπορίας) γύρω από μια περιοχή και χρησιμοποιώντας ένα εργαλείο σάρωσης δικτύου (όπως το NetStumbler / Kismet) με σκοπό την εύρεση μη ασφαλών δικτύων. Βασικά, αυτή η συμπεριφορά δεν παραβιάζει το νόμο. Ωστόσο, μπορείτε να αποκτήσετε πρόσβαση στο Διαδίκτυο μόνοι σας και να κάνετε παράνομα πράγματα.
Χρησιμοποιήστε το exploit για να επιτεθείτε στη βάση δεδομένων από το δίκτυο που μόλις είχε πρόσβαση. Εάν σκοπεύετε να κάνετε κάτι που δεν πρέπει, τότε η χρήση του οικιακού σας δικτύου δεν είναι καλή ιδέα. Βρείτε και αποκτήστε πρόσβαση σε μη ασφαλές Wi-Fi και, στη συνέχεια, επιτεθείτε στη βάση δεδομένων με την εκμετάλλευση που έχετε ερευνήσει και επιλέξει. διαφήμιση
Συμβουλή
- Τα ευαίσθητα δεδομένα πρέπει να προστατεύονται πίσω από ένα τείχος προστασίας.
- Κρυπτογράφηση Wi-Fi με κωδικό πρόσβασης, ώστε οι μη εξουσιοδοτημένες προσβάσεις να μην μπορούν να χρησιμοποιούν το οικιακό σας δίκτυο για να επιτεθούν στη βάση δεδομένων σας.
- Μπορείτε να βρείτε έναν χάκερ και να ζητήσετε συμβουλές. Μερικές φορές τα καλύτερα πράγματα δεν είναι στο Διαδίκτυο.
Προειδοποίηση
- Πρέπει να κατανοήσετε τους νόμους και τις συνέπειες της παραβίασης βάσεων δεδομένων στο Βιετνάμ.
- Ποτέ μην έχετε πρόσβαση σε οποιονδήποτε υπολογιστή από το ιδιωτικό σας δίκτυο.
- Είναι παράνομο να αποκτήσετε πρόσβαση στη βάση δεδομένων άλλου ατόμου.
