Die beste manier om seker te maak dat u databasis veilig is teen hacker -aanvalle, is om soos 'n hacker te dink. As u 'n hacker is, na watter soort inligting soek u? Hoe om die inligting te kry? Daar is verskillende tipes databasisse en verskillende maniere om dit te hack, maar die meeste hackers sal probeer om die wortelwagwoord op te spoor of bekende databasise te gebruik. U kan databasisse inbreek as u vertroud is met SQL -stellings en die basiese beginsels van die databasis verstaan.
Stap
Metode 1 van 3: Gebruik van SQL -inspuiting
Stap 1. Soek databasis kwesbaarhede
U moet databasisstate verstaan om hierdie metode te kan gebruik. Gaan na die aanmeldskerm van die databasis in u webblaaier en tik '(enkele aanhalings) in die gebruikersnaam. Klik op "Login". As u 'n foutboodskap sien wat sê "SQL -uitsondering: aangehaalde string is nie behoorlik beëindig nie" of "ongeldige karakter", beteken dit dat die databasis kwesbaar is vir SQL.
Stap 2. Vind die aantal kolomme
Keer terug na die aanmeldbladsy van die databasis (of enige ander URL wat eindig op “id =” of “catid =”) en klik op die blaaier se adresblokkie. Aan die einde van die URL, druk die spasiebalk en tik
bestel teen 1
en druk dan op Enter. Verhoog die getal tot 2 en druk Enter. Hou aan om getalle by te voeg totdat u 'n foutboodskap kry. Die kolomnommer is eintlik die nommer wat ingevoer is voor die nommer wat die foutboodskap gegenereer het.
Stap 3. Soek die kolom wat die versoek (navraag) aanvaar
Verander aan die einde van die URL in die blaaier se adresblokkie
kat = 1
of
id = 1
Word
kat = -1
of
id = -1
. Druk die spasiebalk en tik
vakbond kies 1, 2, 3, 4, 5, 6
(as daar 6 kolomme is). Die getalle moet tot die totale aantal kolomme georden word, en elke getal moet deur 'n komma geskei word. Druk Enter en u sal die nommers sien vir elke kolom wat die aansoek aanvaar het.
Stap 4. Voeg die SQL -stelling in die kolom in
As u byvoorbeeld wil weet wie die huidige gebruiker is en die inspuiting in kolom 2 plaas, verwyder alle teks in die URL na id = 1 en druk die spasiebalk. Daarna, tik
union select 1, concat (user ()), 3, 4, 5, 6--
. Druk Enter en u sal die huidige databasisnaam op die skerm sien. Gebruik die gewenste SQL -stelling om inligting terug te gee, soos 'n lys gebruikersname en wagwoorde om in te hack.
Metode 2 van 3: Root -wagwoord vir inbraak van databasis
Stap 1. Probeer om aan te meld as root met die aanvanklike (standaard) wagwoord
Sommige databasisse het nie 'n aanvanklike wortel (admin) wagwoord nie, sodat u moontlik die wagwoordblokkie kan uitvee. Sommige databasisse het aanvanklike wagwoorde wat maklik verkry kan word deur op die forum vir tegniese bystand van die databasis te soek.
Stap 2. Probeer 'n algemeen gebruikte wagwoord
As die administrateur die rekening met 'n wagwoord (waarskynlik) sluit, probeer die gewone kombinasie van gebruikersnaam/wagwoord. Sommige hackers plaas lyste met wagwoorde vir publieke middele wat hulle met behulp van ouditinstrumente hack. Probeer verskillende kombinasies van gebruikersnaam en wagwoord.
- 'N Betroubare webwerf met 'n lys met verwante wagwoorde, is
- Dit kan 'n rukkie neem om een wagwoord op 'n slag te probeer, maar dit is die moeite werd om te probeer voordat u meer ingrypende metodes gebruik.
Stap 3. Gebruik ouditinstrumente
U kan verskillende toestelle gebruik om duisende woordkombinasies in die woordeboek te probeer en letters/syfers/simbole met brute krag te probeer totdat die wagwoord gekraak is.
-
Gereedskap soos DBPwAudit (vir Oracle, MySQL, MS-SQL en DB2) en Access Passview (vir MS Access) is gewilde wagwoordouditinstrumente en kan vir die meeste databasisse gebruik word. U kan ook via Google soek na die nuutste wagwoordouditinstrumente wat spesifiek vir u databasis is. Probeer byvoorbeeld soek
wagwoordouditinstrument oracle db
- as u die Oracle -databasis wil inbreek.
- As u 'n rekening op die bediener het wat die databasis huisves, kan u 'n hash cracker -program soos John the Ripper op die databasiswagwoordlêer uitvoer. Die ligging van die hash -lêer hang af van die geassosieerde databasis.
- Laai programme slegs af van betroubare webwerwe. Ondersoek die toestel deeglik voor gebruik.
Metode 3 van 3: Die gebruik van die databasisontginning
Stap 1. Vind 'n ontginning om uit te voer
Secttools.org dokumenteer al meer as 10 jaar sekuriteitsinstrumente (insluitend misdrywe). Hierdie instrumente word oor die algemeen vertrou en word wyd gebruik deur stelselbeheerders regoor die wêreld vir die toets van sekuriteitstelsels. Kyk na die “Exploitation” -databasis op hierdie webwerf of ander betroubare webwerwe vir hulpmiddels of ander tekslêers wat u help om swak punte in die databasisbeveiligingstelsel te ontgin.
- 'N Ander webwerf wat uitbuiting dokumenteer, is www.exploit-db.com. Besoek die webwerf en klik op die Soek -skakel, en soek dan na die tipe databasis wat u wil inbreek (byvoorbeeld 'oracle'). Tik die Captcha -kode in die gegewe blokkie en soek.
- Maak seker dat u alle prestasies wat u wil ondersoek, ondersoek om uit te vind hoe u probleme kan oplos.
Stap 2. Soek kwesbare netwerke deur gebruik te maak van geboorte
Wardriving ry (of fietsry, of loop) in 'n gebied terwyl u 'n netwerkskandeerder (soos NetStumbler of Kismet) gebruik om netwerke met swak sekuriteit te soek. Hierdie metode is tegnies onwettig.
Stap 3. Gebruik databasisontginning van swak sekuriteitsnetwerke
As u iets doen wat u nie behoort te doen nie, is dit beter om dit nie vanuit u privaat netwerk te doen nie. Gebruik die oop draadlose netwerk wat gevind word terwyl u op pad is en voer die bedrywighede wat nagevors en geselekteer is, uit.
Wenke
- Hou altyd sensitiewe data agter 'n firewall.
- Maak seker dat u die draadlose netwerk met 'n wagwoord beskerm, sodat wagte nie u tuisnetwerk kan gebruik om die ontginning uit te voer nie.
- Vra wenke van ander hackers. Soms word die beste inbraakwetenskap nie op die internet versprei nie.
Waarskuwing
- Verstaan die wette en gevolge van inbraak in u land.
- Moet nooit probeer om onwettige toegang tot masjiene vanaf u eie netwerk te verkry nie.
- Dit is onwettig om toegang te verkry tot 'n databasis wat nie u s'n is nie.
