Obsah

• Kroky
• Rada
• Výstraha

Najlepším spôsobom, ako zaistiť bezpečnosť databázy pred hackermi, je myslieť ako hacker. Keby ste boli hackerom, aké informácie by ste hľadali? Čo urobíte, aby ste získali tieto informácie? Existuje celý rad metód hacknutia rôznych typov databáz, ale väčšina hackerov sa pokúsi prelomiť heslá na vysokej úrovni alebo podniknúť útoky na databázu. Ak ovládate príkazy SQL a rozumiete základným programovacím jazykom, môžete vyskúšať hacknutie databázy.

Kroky

Metóda 1 z 3: Injekciou SQL

1. 

   Identifikujte slabé miesta databázy. Skôr ako použijete túto metódu, musíte byť schopní dobre zvládnuť databázové príkazy. Najskôr otvorte v prehliadači prihlasovaciu obrazovku webového rozhrania databázy a zadajte ’ (apostrof) v poli používateľské meno. Kliknite na „Prihlásiť sa“. Ak sa objaví chyba „Výnimka SQL: reťazec v úvodzovkách nie je správne ukončený“ alebo „neplatný znak“, je ľahké hacknúť databázu. Technika vkladania SQL.

2. 

   
   
   Nájdite počet stĺpcov. Vráťte sa na prihlasovaciu stránku databázy (alebo na inú adresu URL končiacu slovami „id =“ alebo „catid =“) a kliknite na riadok s adresou prehliadača. Za adresou URL stlačte medzeru a zadajte zoradiť o 1 a potom stlačiť ↵ Zadajte. Zvýšte na 2 a stlačte ↵ Zadajte. Pokračujte v zvyšovaní, kým sa nezobrazí chyba. Skutočné číslo stĺpca je číslo zadané pred číslom, ktoré systém nahlási chybu.

3. 

   
   
   Vyhľadajte stĺpec, ktorým chcete premennú prijať. Na konci adresy URL v paneli s adresou to zmeňte catid = 1 dobré id = 1 sa stane catid = -1 alebo id = -1.Stlačte medzeru a napíšte zväzok vyberte 1,2,3,4,5,6 (ak je 6 stĺpcov). Musíte zadávať čísla vzostupne až do celkového počtu stĺpcov a oddeliť ich čiarkami. Stlačte ↵ Zadajte, číslo každého stĺpca bude akceptovať premennú.

4. 

   
   
   Vložte príkaz SQL do stĺpca. Ak napríklad chcete poznať aktuálneho používateľa a vložiť obsah do stĺpca 2, vymažte všetko, čo je za časťou id = 1 v URL a stlačte medzerník. Potom vstúpte union select 1, concat (user ()), 3,4,5,6- a stlačte ↵ Zadajte, na obrazovke sa zobrazí aktuálne užívateľské meno databázy. Vyberte príkaz SQL, aby ste získali potrebné informácie, napríklad zoznam používateľských mien a hesiel, ktoré sa majú cracknúť. reklama

Metóda 2 z 3: Prelomenie hesla na vysokej úrovni databázy

1. 

   Skúste sa prihlásiť ako pokročilý používateľ s predvoleným heslom. Niektoré databázy predvolene nemajú hlavné heslo (admin - admin), takže môžete nechať pole pre heslo nevyplnené. Ostatné majú predvolené heslá, ktoré sa dajú ľahko nájsť na fórach technickej podpory týkajúcich sa databázy.

2. 

   Vyskúšajte populárne heslá. Ak je správca účtu chránený heslom (veľmi bežné), môžete vyskúšať bežné frázy kombinácie používateľského mena a hesla. Niektorí hackeri zverejňujú zoznam hesiel, ktoré prelomia pri použití nástrojov kontroly. Vyskúšajte niektoré kombinácie používateľského mena a hesla.
   • Stránka https://github.com/danielmiessler/SecLists/tree/master/Passwords je známa zoznamom hesiel, ktoré hackeri zbierajú.
   • Ručné odhadnutie hesla môže chvíľu trvať, ale môžete ho vyskúšať skôr, ako použijete komplikovanejšie spôsoby, pretože to nič nestojí.

3. 

   Použite nástroj na kontrolu hesla. Môžete použiť rôzne nástroje na vyskúšanie tisícov kombinácií slovnej zásoby a kombinácie písmen a alfanumerických znakov pomocou útoku hrubou silou, kým sa nerozbije heslo.
   • DBPwAudit (pre Oracle, MySQL, MS-SQL a DB2) a Access Passview (pre MS Access) sú populárne nástroje na kontrolu hesla, ktoré môžu fungovať vo väčšine databáz. Môžete tiež vyhľadať v službe Google novšie nástroje na kontrolu hesla, ktoré sú špecifické pre konkrétne databázy. Napríklad, ak hackujete databázu Oracle, vyhľadajte kľúčové slovo nástroj na kontrolu hesla oracle db.
   • Ak máte účet na serveri, ktorý je hostiteľom databázy, môžete na vykonanie dešifrovania súboru s heslom databázy spustiť hašovací nástroj, napríklad Johna Rozparovača. Umiestnenie hash súboru sa bude líšiť od databázy k databáze.
   • Nástroje sťahujte iba zo stránok, ktorým dôverujete. Pred použitím si urobte online prieskum podľa vášho výberu.
   reklama

Metóda 3 z 3: Útok na databázu.

1. 

   Nájdite exploit na vykonanie. Sectools.org je všeobecný adresár bezpečnostných nástrojov (vrátane exploitu), ktorý funguje už viac ako desať rokov. Ich nástroj je pomerne renomovaný a používa ho mnoho správcov systému po celom svete na kontrolu zabezpečenia siete. Prejdite v ich adresári „Exploitation“ (alebo na inom dôveryhodnom webe) a nájdite nástroj alebo textový súbor, ktorý vám môže pomôcť napadnúť bezpečnostnú chybu databázy.
   • Ďalšou exploitovou stránkou je www.exploit-db.com. Prejdite na webovú stránku vyššie a kliknite na odkaz Hľadať, aby ste vyhľadali typ databázy, ktorú chcete hacknúť (napr. „Oracle“). Do uvedeného poľa zadajte kód Captcha a vyhľadajte.
   • Musíte si pozorne preštudovať, čo všetko sa exploit bude snažiť zvládnuť v prípade, že nastane problém.

2. 

   Nájdite zraniteľné siete, ku ktorým máte prístup (wardriving). Wardriving je jazda autom (aj na bicykli alebo pešo) po okolí a pomocou sieťového skenera (napríklad NetStumbler / Kismet) na účely hľadania nezabezpečených sietí. Toto správanie v zásade neporušuje zákon. Ale je možné sa sami pripojiť na internet a robiť nelegálne veci.

3. 

   Použite exploit na útok na databázu zo siete, ku ktorej ste práve pristupovali. Ak plánujete robiť niečo, čo by nemalo byť, potom použitie domácej siete nie je dobrý nápad. Nájdite a nezabezpečte sa na Wi-Fi a potom zaútočte na databázu pomocou exploitu, ktorý ste preskúmali a vybrali. reklama

Rada

• Citlivé údaje musia byť chránené za bránou firewall.
• Šifrujte Wi-Fi pomocou hesla, aby neoprávnený prístup nemohol pomocou vašej domácej siete napadnúť vašu databázu.
• Môžete si nájsť hackera a požiadať o radu. Najlepšie veci niekedy nie sú na internete.

Výstraha

• Musíte porozumieť zákonom a dôsledkom hackerstva databáz vo Vietname.
• Nikdy nezískajte prístup k žiadnemu počítaču zo svojej súkromnej siete.
• Získanie prístupu do databázy inej osoby je nezákonné.