Маалымат базаңыздын хакердик чабуулдардан коопсуз экенине ынануунун эң жакшы жолу - хакер сыяктуу ойлонуу. Эгер сиз хакер болсоңуз, кандай маалыматты издеп жүрөсүз? Бул маалыматты кантип алса болот? Маалымат базаларынын ар кандай түрлөрү жана аларды бузуунун ар кандай жолдору бар, бирок көпчүлүк хакерлер түпнуска сырсөздү табууга же белгилүү маалымат базасын эксплуатациялоого аракет кылышат. Сиз SQL билдирүүлөрү менен тааныш болсоңуз жана маалымат базасынын негиздерин түшүнсөңүз, маалымат базаларын бузуп аласыз.
Кадам
3 методу 1: SQL инъекциясын колдонуу
Кадам 1. Маалымат базасынын алсыздыгын табыңыз
Бул ыкманы колдонуу үчүн маалымат базасынын билдирүүлөрүн түшүнүшүңүз керек. Веб -браузериңиздеги маалымат базасына кирүү экранына өтүңүз жана колдонуучунун аты кутусуна '(бир тырмакча) териңиз. "Кирүү" чыкылдатыңыз. Эгерде сиз "SQL Exception: цитата келтирилген сап туура эмес токтотулган" же "жараксыз символ" деген ката билдирүүсүн көрсөңүз, бул маалымат базасы SQLге алсыз экенин билдирет.
Кадам 2. Мамычалардын санын табыңыз
Маалыматтар базасына кирүү барагына кайтыңыз (же "id =" же "catid =" менен аяктаган башка URL) жана браузердин дарек кутусун чыкылдатыңыз. URLдин аягында боштукту басып, териңиз
заказ 1ге чейин
андан кийин Enter басыңыз. Санды 2ге чейин көбөйтүңүз жана Enter басыңыз. Ката жөнүндө билдирүү келгенге чейин сандарды кошо бериңиз. Мамыча номери чындыгында ката билдирүүсүн жараткан санга чейин киргизилген сан.
Кадам 3. Суранычты кабыл алган тилкени табыңыз (суроо)
Браузердин дарек кутучасындагы URLдин аягында өзгөртүңүз
катид = 1
же
id = 1
Болуп калат
катид = -1
же
id = -1
. Боштукту басып, териңиз
союз 1, 2, 3, 4, 5, 6 танда
(эгер 6 мамыча болсо). Сандар мамычалардын жалпы санына чейин иреттелиши керек жана ар бир сан үтүр менен ажыратылган. Enter баскычын басыңыз жана сиз арызды кабыл алган ар бир мамычанын сандарын көрөсүз.
Кадам 4. SQL билдирүүсүн мамычага салыңыз
Мисалы, эгер сиз учурдагы колдонуучу ким экенин билгиңиз келсе жана инъекцияны 2 -графага салгыңыз келсе, id = 1ден кийин URLдеги бардык текстти алып салып, боштукту басыңыз. Андан кийин, тик
союз тандоо 1, concat (user ()), 3, 4, 5, 6--
. Enter басыңыз жана экранда учурдагы маалымат базасынын колдонуучу атын көрөсүз. Маалыматты кайтаруу үчүн керектүү SQL билдирүүсүн колдонуңуз, мисалы, колдонуучулардын аттары жана сырсөздөрдүн тизмеси.
Метод 2 3: Hacking Database Root Password
Кадам 1. Баштапкы (демейки) сырсөз менен тамыр катары кирүүгө аракет кылыңыз
Кээ бир маалымат базаларында баштапкы тамыры жок (администратор), андыктан сиз сырсөз кутучасын тазалай аласыз. Кээ бир маалымат базаларында баштапкы сырсөздөр бар, аларды базанын техникалык жардам кызматы форумунан издөө аркылуу оңой эле алууга болот.
Кадам 2. Адатта колдонулган сырсөздү байкап көрүңүз
Эгерде администратор аккаунтту сырсөз менен кулпуласа (мүмкүн), кадимки колдонуучу аты/сырсөз айкалышын колдонуп көрүңүз. Кээ бир хакерлер сырсөздөрдүн тизмесин аудиттик инструменттердин жардамы менен бузган коомдук каражаттарга жарыялашат. Башка колдонуучу аты менен сырсөздүн айкалышын колдонуп көрүңүз.
- Байланышкан сырсөздөрдүн тизмеси бар ишенимдүү сайт
- Бир убакта бир сырсөздү издөө бир аз убакытты алышы мүмкүн, бирок дагы катуу ыкмаларга өтүүдөн мурун аракет кылуу керек.
3 -кадам. Аудит инструменттерин колдонуңуз
Сиз ар кандай түзмөктөрдү колдонуп, сөздүктө миңдеген сөз айкаштарын жана каттуу күчтү/сандарды/символдорду колдонуп, сырсөз жарылганга чейин колдоно аласыз.
-
DBPwAudit (Oracle, MySQL, MS-SQL жана DB2 үчүн) жана Access Passview (MS Access үчүн) сыяктуу куралдар сырсөздү текшерүүнүн популярдуу куралы болуп саналат жана көпчүлүк маалымат базалары үчүн колдонулушу мүмкүн. Сиз ошондой эле Google аркылуу маалымат базаңызга тиешелүү акыркы сырсөздү текшерүү куралдарын издей аласыз. Мисалы, издеп көрүңүз
oracle db сырсөзүн текшерүү куралы
- Эгерде сиз Oracle маалымат базасын бузууну кааласаңыз.
- Эгерде сизде маалымат базасын жайгаштырган серверде каттоо эсебиңиз болсо, анда базанын сырсөз файлында John Ripper сыяктуу хэш -крекер программасын иштете аласыз. Хэш файлынын жайгашкан жери байланышкан маалымат базасына көз каранды.
- Ишенимдүү сайттардан гана программаларды жүктөп алыңыз. Колдоноор алдында аппаратты кылдат изилдеңиз.
3 методу 3: Берилиштер базасын иштетүү
Кадам 1. иштетүү үчүн эксплойт табыңыз
Secttools.org 10 жылдан ашуун убакыттан бери коопсуздук куралдарын документтештирип келет (анын ичинде эрдиктер). Бул куралдар негизинен ишенимдүү жана коопсуздук системасын тестирлөө үчүн дүйнө жүзү боюнча тутум администраторлору тарабынан кеңири колдонулат. Бул сайттагы же башка ишенимдүү сайттардагы "Эксплуатация" маалымат базасын караңыз, бул маалымат базасынын коопсуздук тутумунун алсыз жерлерин колдонууга жардам берген куралдар же башка текст файлдары үчүн.
- Документтерди эксплуатациялаган дагы бир сайт-www.exploit-db.com. Сайтка кирип, Издөө шилтемесин чыкылдатыңыз, андан кийин сиз бузууну каалаган маалымат базасынын түрүн издеңиз (мисалы, "oracle"). Берилген кутуга Captcha кодун териңиз жана издеңиз.
- Пайда болушу мүмкүн болгон көйгөйлөрдүн айланасында кантип иштөөнү билүү үчүн, сиз каалаган эксплуатацияны изилдеңиз.
Кадам 2. Кардарингди колдонуп, аялуу тармактарды табыңыз
Wardriving - бул коопсуздукту начар тармактарды издөө үчүн тармакты сканерлөө куралын (NetStumbler же Kismet сыяктуу) иштетип жатып, аймакты айланып (же велосипед тээп же жөө басуу). Бул ыкма техникалык жактан мыйзамсыз.
Кадам 3. Коопсуздук түйүндөрүнүн алсыздыгын колдонуңуз
Эгерде сиз жасабашыңыз керек болгон нерсени жасап жатсаңыз, аны жеке тармагыңыздан жасабаганыңыз оң. Коопсуздук учурунда табылган ачык зымсыз тармакты колдонуңуз жана изилденген жана тандалган эксплойттарды иштетиңиз.
Кеңештер
- Ар дайым файервалдын артында купуя маалыматтарды сактаңыз.
- Зымсыз тармакты сырсөз менен коргогонуңузду текшериңиз, ошондо сакчылар үй тармагыңызды колдоно алышпайт.
- Башка хакерлерден кеңеш сураңыз. Кээде, мыкты хакердик илим интернетте жайылтылбайт.
Эскертүү
- Өлкөңүздөгү хакерлердин мыйзамдарын жана кесепеттерин түшүнүңүз.
- Эч качан өз тармагыңыздан машиналарга мыйзамсыз кирүүгө аракет кылбаңыз.
- Сиздики болбогон маалымат базасына кирүү мыйзамсыз.