Ma'lumotlar bazasi xakerlardan himoyalanganligiga ishonch hosil qilishning eng yaxshi usuli - xaker kabi o'ylash. Agar siz xaker bo'lganingizda, qanday ma'lumotlarni qidirgan bo'lardingiz? Siz bunga qanday erishgan bo'lardingiz? Ma'lumotlar bazalarining ko'p turlari va ularni buzishning turli usullari mavjud, lekin ko'pchilik xakerlar ma'lumotlar bazasining ildiz parolini buzishga yoki ma'lum ma'lumotlar bazasi ekspluatatsiyasini bajarishga harakat qilishadi. Agar siz SQL bayonotlarini bilsangiz va ma'lumotlar bazasi asoslarini bilsangiz, ma'lumotlar bazasini buzishingiz mumkin.
Qadamlar
3 -usul 1: SQL in'ektsiyasidan foydalanish
Qadam 1. Ma'lumotlar bazasi zaifligini bilib oling
Ushbu usuldan foydalanish uchun siz ma'lumotlar bazasi bayonotlari bilan qulay bo'lishingiz kerak. Veb -brauzerda ma'lumotlar bazasi veb -interfeysi kirish ekranini oching va foydalanuvchi nomi maydoniga "a" so'zini kiriting. "Kirish" ni bosing. Agar siz "SQL istisnosi: tirnoq to'g'ri yozilmagan" yoki "yaroqsiz belgi" kabi xatolarni ko'rsangiz, ma'lumotlar bazasi SQL in'ektsiyalari himoyasiz bo'ladi.
Qadam 2. Ustunlar miqdorini toping
Ma'lumotlar bazasi uchun kirish sahifasiga qayting (yoki "id =" yoki "catid =" bilan tugaydigan boshqa URL) va brauzer manzili maydoniga bosing. URL manzilidan keyin bo'sh joyni bosing va yozing
1 ga buyurtma bering
keyin ↵ Enter ni bosing. Raqamni 2 ga oshiring va ↵ Enter tugmasini bosing. Xato bo'lmaguncha o'sishni davom ettiring. Haqiqiy ustunlar soni - bu sizga xato bergan raqamdan oldin kiritgan raqamingiz.
3 -qadam. Qaysi ustunlar so'rovlarni qabul qilishini toping
Manzil satridagi URL oxirida, ni o'zgartiring
katid = 1
yoki
id = 1
ga
katid = -1
yoki
id = -1
. Bo'sh joyni bosing va yozing
kasaba uyushmasi 1, 2, 3, 4, 5, 6 ni tanlang
(agar 6 ustun bo'lsa). Raqamlar ustunlar soniga qadar hisoblanishi kerak va ularning har biri vergul bilan ajratilishi kerak. Enter tugmasini bosing va siz so'rovni qabul qiladigan har bir ustunning raqamlarini ko'rasiz.
4 -qadam. Ustunga SQL bayonotlarini kiriting
Masalan, agar siz joriy foydalanuvchini bilishni istasangiz va in'ektsiyani 2 -ustunga qo'ymoqchi bo'lsangiz, URLdagi id = 1dan keyin hamma narsani o'chirib tashlang va bo'sh joyni bosing. Keyin, yozing
birlikni tanlang 1, concat (user ()), 3, 4, 5, 6--
. Enter tugmasini bosing va ekranda joriy ma'lumotlar bazasi foydalanuvchisini ko'rasiz. Ma'lumotni qaytarishni istagan har qanday SQL iboralaridan foydalaning, masalan, foydalanuvchi nomlari ro'yxati va parollar.
3 -usul 2: Ma'lumotlar bazasi ildiz parolini buzish
Qadam 1. standart parol bilan root sifatida kirishga harakat qiling
Ba'zi ma'lumotlar bazalarida sukut bo'yicha root (admin) paroli yo'q, shuning uchun siz parol maydonini bo'sh qoldirishingiz mumkin. Ba'zilarida standart parollar mavjud bo'lib, ularni ma'lumotlar bazasini texnik qo'llab -quvvatlash forumlaridan qidirish orqali topish mumkin.
Qadam 2. Umumiy parollarni sinab ko'ring
Agar administrator hisobni parol bilan himoyalagan bo'lsa (ehtimol vaziyat), umumiy foydalanuvchi nomi/parol kombinatsiyalarini sinab ko'ring. Ba'zi xakerlar auditorlik vositalaridan foydalangan holda buzilgan parollar ro'yxatini omma oldida e'lon qilishadi. Boshqa foydalanuvchi nomi va parol kombinatsiyalarini sinab ko'ring.
- Parollar ro'yxati to'plangan obro'li sayt -
- Parollarni qo'lda sinab ko'rish ko'p vaqt talab qilishi mumkin, lekin katta qurollarni sindirishdan oldin uni o'qqa tutishning zarari yo'q.
Qadam 3. Parolni tekshirish vositasidan foydalaning
Minglab lug'at so'zlari va harflar/raqamlar/belgilar kombinatsiyasini parol buzilmaguncha qo'pol kuch bilan sinab ko'rish uchun siz turli xil vositalardan foydalanishingiz mumkin.
-
DBPwAudit (Oracle, MySQL, MS-SQL va DB2 uchun) va Access Passview (MS Access uchun) kabi vositalar ko'pchilik ma'lumotlar bazalariga qarshi ishlaydigan mashhur parolni tekshirish vositalari. Siz, shuningdek, ma'lumotlar bazasi uchun yangi parollarni tekshirish vositalarini Google -dan qidirishingiz mumkin. Masalan, qidirish
Oracle db parolni tekshirish vositasi
- agar siz Oracle ma'lumotlar bazasini buzsangiz.
- Agar sizda ma'lumotlar bazasi joylashgan serverda hisob qaydnomangiz bo'lsa, siz ma'lumotlar bazasining parol fayliga qarshi Jon Ripper kabi xakerlarni ishlatishingiz mumkin. Ma'lumotlar bazasiga qarab xash faylining joylashuvi boshqacha.
- Faqat ishonishingiz mumkin bo'lgan saytlardan yuklab oling. Ularni ishlatishdan oldin keng qamrovli tadqiqot vositalari.
3 -dan 3 -usul: Ma'lumotlar bazasidan foydalanish
Qadam 1. Yugurish uchun ekspluatatsiya toping
Sectools.org o'n yildan ziyod vaqt davomida xavfsizlik vositalarini (ekspluatatsiyalarni ham) kataloglashtirgan. Ularning vositalari obro'li va butun dunyo bo'ylab tizim ma'murlari tomonidan xavfsizlikni tekshirish uchun ishlatiladi. Ma'lumotlar bazasidagi xavfsizlik teshiklaridan foydalanishga yordam beradigan vositalar yoki matnli fayllarni topish uchun ularning "ekspluatatsiya" ma'lumotlar bazasini ko'rib chiqing (yoki boshqa ishonchli saytni toping).
- Boshqa ekspluatatsiya qilingan sayt-www.exploit-db.com. Ularning veb -saytiga o'ting va Qidiruv havolasini bosing, keyin siz buzmoqchi bo'lgan ma'lumotlar bazasi turini qidiring (masalan, "oracle"). Berilgan maydonga Captcha kodini kiriting va qidiring.
- Siz sinab ko'rmoqchi bo'lgan barcha ekspluatatsiyalarni o'rganganingizga ishonch hosil qiling, shunda yuzaga kelishi mumkin bo'lgan muammolar yuzaga kelganda nima qilish kerakligini bilib olasiz.
Qadam 2. Himoyalash orqali himoyasiz tarmoqni toping
Xavfsizlik - bu xavfsiz bo'lmagan tarmoqni qidirish uchun tarmoqni skanerlash vositasi (NetStumbler yoki Kismet kabi) ishlatilganda, atrofni haydash (yoki velosipedda yurish yoki yurish). Qo'riqlash texnik jihatdan qonuniydir. Qo'riqlash paytida topilgan tarmoqdan noqonuniy ish qilish - bu emas.
Qadam 3. Xavfsiz tarmoqdan ma'lumotlar bazasi ekspluatatsiyasidan foydalaning
Agar siz kerak bo'lmagan ishni qilayotgan bo'lsangiz, buni o'zingizning tarmog'ingizdan qilish yaxshi emas. Himoyalash paytida topilgan ochiq tarmoqlardan biriga simsiz ulaning va siz o'rgangan va tanlagan ekspluatatsiyani ishga tushiring.
Maslahatlar
- Har doim xavfsizlik devori orqasida maxfiy ma'lumotlarni saqlang.
- Himoyachilar sizning uy tarmog'ingizdan ekspluatatsiya qilish uchun foydalana olmasligi uchun simsiz tarmoqlaringizni parol bilan himoya qilganingizga ishonch hosil qiling.
- Boshqa xakerlarni toping va maslahatlar so'rang. Ba'zida eng yaxshi xakerlik bilimlari ochiq Internetda saqlanadi.
Ogohlantirishlar
- Sizniki bo'lmagan ma'lumotlar bazasiga kirish noqonuniy hisoblanadi.
- Mamlakatingizda xakerlik qonunlari va oqibatlarini tushunib oling.
- Hech qachon o'z tarmog'ingizdan mashinaga noqonuniy kirishga urinmang.
