Saturs

• Soļi
• Padoms
• Brīdinājums

Labākais veids, kā pārliecināties, ka datu bāze ir droša pret hakeriem, ir domāt kā hakeriem. Ja jūs būtu hakeris, kādu informāciju jūs meklētu? Ko jūs darīsit, lai iegūtu šo informāciju? Dažādu veidu datubāzu uzlaušanai ir dažādas metodes, taču lielākā daļa hakeru mēģinās uzlauzt augsta līmeņa paroles vai sākt uzbrukumus datu bāzēm. Ja esat iepazinies ar SQL komandām un saprotat pamata programmēšanas valodas, varat mēģināt uzlauzt datu bāzi.

Soļi

1. metode no 3: Ar SQL injekciju

1. 

   Nosakiet datu bāzes vājās vietas. Pirms varat izmantot šo metodi, jums jāspēj labi apstrādāt datu bāzes komandas. Vispirms pārlūkprogrammā atveriet datu bāzes tīmekļa saskarnes pieteikšanās ekrānu un ierakstiet ’ (apostrofs) lietotājvārda laukā. Noklikšķiniet uz “Pieteikties”. Ja parādās kļūda "SQL izņēmums: citēta virkne nav pareizi pārtraukta" vai "nederīgs raksturs", datu bāzi ir viegli uzlauzt. SQL injekcijas tehnika.

2. 

   
   
   Atrodiet kolonnu skaitu. Atgriezieties datu bāzes pieteikšanās lapā (vai jebkurā citā URL, kas beidzas ar “id =” vai “catid =”) un noklikšķiniet uz pārlūka adreses joslas. Pēc URL nospiediet atstarpi un ierakstiet secībā pa 1, pēc tam nospiediet ↵ Ievadiet. Palieliniet līdz 2 un nospiediet ↵ Ievadiet. Turpiniet palielināt, līdz tiek parādīta kļūda. Faktiskais kolonnas numurs ir skaitlis, kas ievadīts pirms skaitļa, kurā sistēma ziņo par kļūdu.

3. 

   
   
   Atrodiet kolonnu, lai akceptētu mainīgo. Adreses joslā esošā URL beigās mainiet to catid = 1 labs id = 1 kļūst catid = -1 vai id = -1.Nospiediet atstarpi un ierakstiet savienojums atlasiet 1,2,3,4,5,6 (ja ir 6 kolonnas). Jums jāievada numuri augošā secībā līdz kopējam kolonnu skaitam un atdalīti ar komatiem. Nospiediet ↵ Ievadiet, katras kolonnas numurs pieņems mainīgo.

4. 

   
   
   Injicējiet SQL priekšrakstu kolonnā. Piemēram, ja vēlaties uzzināt pašreizējo lietotāju un ievadīt saturu 2. kolonnā, izdzēsiet visu aiz id = 1 daļas URL un nospiediet atstarpes taustiņu. Pēc tam ievadiet savienojums atlasiet 1, concat (lietotājs ()), 3,4,5,6- un nospiediet ↵ Ievadiet, ekrānā tiks parādīts pašreizējais datu bāzes lietotājvārds. Atlasiet komandu SQL, lai iegūtu nepieciešamo informāciju, piemēram, uzlauzamo lietotājvārdu un paroļu sarakstu. reklāma

2. metode no 3: datubāzes augsta līmeņa paroles uzlaušana

1. 

   Mēģiniet pieteikties kā pieredzējis lietotājs ar noklusējuma paroli. Dažām datu bāzēm pēc noklusējuma nav galvenā paroles (admin - admin), tāpēc jūs varat atstāt paroles lauku tukšu. Citiem ir noklusējuma paroles, kuras ir viegli atrodamas tehniskā atbalsta forumos par datu bāzi.

2. 

   Izmēģiniet populāras paroles. Ja administrators ar paroli aizsargā kontu (ļoti bieži), varat izmēģināt parastās lietotājvārda / paroles kombinācijas frāzes. Daži hakeri publicē to paroļu sarakstu, kuras viņi uzlauž, izmantojot revīzijas rīkus. Izmēģiniet dažas lietotājvārda un paroles kombinācijas.
   • Lapa https://github.com/danielmiessler/SecLists/tree/master/Passwords ir slavena ar savu paroļu sarakstu, ko hakeri vāc.
   • Paroles uzminēšana manuāli var aizņemt laiku, taču pirms sarežģītāku veidu izmantošanas to varat izmēģināt, jo tas neko nemaksā.

3. 

   Izmantojiet paroles pārbaudes rīku. Varat izmantot dažādus rīkus, lai izmēģinātu tūkstošiem vārdu krājuma un burtu / burtu un ciparu kombinācijas ar brutālu spēku uzbrukumu, līdz parole ir sašķelta.
   • DBPwAudit (Oracle, MySQL, MS-SQL un DB2) un Access Passview (MS Access) ir populāri paroļu pārbaudes rīki, kas var darboties lielākajā daļā datu bāzu. Varat arī meklēt Google jaunākus paroļu pārbaudes rīkus, kas raksturīgi konkrētām datu bāzēm. Piemēram, ja jūs uzlaužat Oracle datu bāzi, meklējiet atslēgvārdu paroles audita rīks oracle db.
   • Ja jums ir konts serverī, kurā mitinās datu bāze, datu bāzes paroles faila atšifrēšanai varat izpildīt hash rīku, piemēram, John Ripper. Hash faila atrašanās vieta dažādās datu bāzēs būs atšķirīga.
   • Lejupielādējiet rīkus tikai no vietnēm, kurām uzticaties. Pirms izmantojat tiešsaistes pētījumu par izvēlēto rīku.
   reklāma

3. metode no 3: Datu bāzes uzbrukums.

1. 

   Atrodiet izpildi. Sectools.org ir vispārējs drošības rīku katalogs (ieskaitot ekspluatāciju), kas darbojas vairāk nekā desmit gadus. Viņu rīks ir diezgan cienījams, un to izmanto daudzi sistēmas administratori visā pasaulē, lai pārbaudītu tīkla drošību. Pārlūkojiet viņu direktoriju “Izmantošana” (vai citu uzticamu vietni), lai atrastu rīku vai teksta failu, kas varētu palīdzēt uzbrukt datubāzes drošības ievainojamībai.
   • Vēl viena izmantošanas lapa ir www.exploit-db.com. Dodieties uz iepriekš minēto vietni un noklikšķiniet uz saites Meklēt, lai meklētu datubāzes veidu, kuru vēlaties uzlauzt (piemēram, "Oracle"). Ievadiet Captcha kodu paredzētajā lodziņā un meklējiet.
   • Jums rūpīgi jāizpēta visa iespējamā izmantošana, lai mēģinātu pārvaldīt, ja rodas kāda problēma.

2. 

   Atrodiet neaizsargātus tīklus, lai piekļūtu. Wardriving ir automašīnas vadīšana (pat braucot ar velosipēdu vai ejot) pa apkārtni un izmantojot tīkla skenēšanas rīku (piemēram, NetStumbler / Kismet), lai atrastu nenodrošinātus tīklus. Būtībā šī rīcība nepārkāpj likumu. Bet ir iespējams pašam piekļūt internetam un darīt nelegālas lietas.

3. 

   Izmantojiet izmantošanas iespējas, lai uzbruktu datu bāzei no tikko pieejamā tīkla. Ja plānojat darīt kaut ko tādu, kam nevajadzētu būt, tad mājas tīkla izmantošana nav laba ideja. Atrodiet nenodrošinātu Wi-Fi un piekļūstiet tam, pēc tam uzbrūkiet datu bāzei, izmantojot jūsu izpētīto un atlasīto izmantojumu. reklāma

Padoms

• Sensitīvie dati ir jāaizsargā aiz ugunsmūra.
• Šifrējiet Wi-Fi ar paroli, lai nesankcionētas piekļuves nevarētu izmantot jūsu mājas tīklu, lai uzbruktu jūsu datu bāzei.
• Jūs varat atrast hakeru un lūgt padomu. Dažreiz labākās lietas nav internetā.

Brīdinājums

• Jums jāsaprot likumi un datubāzu uzlaušanas sekas Vjetnamā.
• Nekad neiegūstiet piekļuvi nevienam datoram no sava privātā tīkla.
• Piekļūt citas personas datu bāzei ir nelikumīgi.