Cum să încălcați o bază de date
Cea mai bună modalitate de a vă asigura că baza dvs. de date este sigură de atacurile de hacking este să vă gândiți exact la unul dintre ele. Dacă aș fi fost un hacker, ce fel de informații ți-ar putea atrage atenția? Cum ai încercat să-l ții la curent? Există multe tipuri de baze de date în lume și multe modalități diferite de a le rupe, însă majoritatea hackerilor preferă să încerce să afle parola administrativă sau să ruleze exploata
conținut
paşi
Metoda 1
Utilizați SQL Injection
1
Aflați dacă baza de date în cauză este vulnerabilă la acest tip de atac. Pentru a utiliza această metodă, trebuie să puteți gestiona comenzile, structura și operarea unei baze de date fără probleme. Porniți browserul de internet și îl utilizați pentru a accesa interfața de conectare a bazei de date, apoi tastați caracterul "(citare unică)" în câmpul de nume de utilizator. Când ați terminat, apăsați butonul "Autentificare". Dacă apare un mesaj de eroare similar cu cel de mai jos "Excepție SQL: sirul citat nu este terminat corespunzător" sau "caracter nevalid", înseamnă că baza de date în cauză este vulnerabilă la un tip de atac "Injecție SQL".
2
Găsiți numărul de coloane din tabel. Reveniți la pagina de conectare a bazei de date (sau la orice pagină de pe site a cărei adresă URL se termină cu șiruri de caractere) "id =" sau "CatID ="), apoi faceți clic pe bara de adrese a browserului. Poziționați cursorul de text la sfârșitul adresei URL, apăsați bara de spațiu și introduceți codul
ordonați după 1
, apoi apăsați tasta Enter. În acest moment, înlocuiți numărul 1 cu numărul 2 și apăsați din nou pe Enter. Continuați să măriți acest număr de unitate până când primiți un mesaj de eroare. Numărul înaintea celui care a generat mesajul de eroare reprezintă numărul de coloane din tabelul care conține informațiile de conectare la baza de date.3
Găsiți care coloane acceptă interogări SQL. Poziționați cursorul de text la sfârșitul adresei URL din bara de adrese a browserului, apoi editați codul
catId = 1
sau id = 1
în catId = -1
sau id = -1
. Apăsați bara de spațiu și introduceți codul uniune selectată 1,2,3,4,5,6
(dacă tabelul de mai jos este caracterizat de 6 coloane). În acest caz, trebuie să introduceți secvența de numere corespunzătoare coloanelor identificate în etapa anterioară și fiecare valoare trebuie să fie separată printr-o virgulă. Când ați terminat, apăsați tasta Enter. Ar trebui să vedeți numerele corespunzătoare coloanelor care acceptă ca ieșire o interogare SQL.4
Introduceți codul SQL în interiorul unei coloane. De exemplu, dacă doriți să cunoașteți utilizatorul curent și să introduceți codul în coloana 2, ștergeți toate caracterele prezente după șir "id = 1" sau "catId = 1" URL, apoi apăsați bara de spațiu. În acest moment, introduceți codul
union select 1, concat (user ()), 3,4,5,6-
. Când ați terminat, apăsați tasta Enter. Numele de utilizator conectat în prezent la baza de date ar trebui să apară pe ecran. În acest moment, puteți utiliza orice comandă SQL pentru interogarea bazei de date - de exemplu, puteți solicita o listă cu toate numele de utilizator și parolele asociate înregistrate în baza de date pentru a încălca conturile respective.Metoda 2
Violați o parolă de administrare a bazei de date
1
Încercați să vă conectați la baza de date ca administrator sau utilizator root utilizând parola implicită. În mod implicit, unele baze de date nu au o parolă de conectare pentru utilizatorul de admin (root sau admin), astfel încât este posibil să vă conectați pur și simplu lăsând câmpul parolă gol. În alte cazuri, parola contului "rădăcină" sau "admin" acesta este în continuare cel implicit care poate fi urmărit înapoi prin efectuarea unei căutări simple online în cadrul forumului de suport pentru baze de date în discuție.
2
Încercați să utilizați cele mai comune parole. Dacă accesul la contul de utilizator al administratorului bazei de date este protejat cu o parolă (cel mai probabil), puteți încerca să îl încălcați utilizând cele mai populare combinații de nume de utilizator și parole. Unii hackeri publică listele de parole pe care le-au putut identifica în timpul activităților lor. Încercați câteva combinații de nume de utilizator și parole.
3
Utilizați instrumentele pentru verificarea automată a parolelor. Există mai multe instrumente care pot testa rapid mii de combinații de cuvinte, litere, numere și simboluri utilizând metoda numită "forța brută" (engleză "forța brută") o "cercetare exhaustivă" până când se găsește parola corectă.
baza de date de auditare a parolelor oracle
sau instrument de audit al parolei oracle db
.Metoda 3
Rulați un Exploit
1
Găsiți un exploit potrivit pentru baza de date în cauză. Site-ul Sectools.org cataloghează instrumentele de securitate a bazelor de date (inclusiv exploatările) pentru mai mult de zece ani. Aceste instrumente sunt fiabile și sigure și sunt folosite zilnic de administratorii de baze de date și de sistemele informatice din întreaga lume pentru a verifica securitatea datelor lor. Răsfoiți conținutul bazei lor de date "exploatare" (sau găsiți un alt site similar în care aveți încredere) pentru a găsi instrumentul sau documentul care vă permite să identificați găurile de securitate din baza de date pe care doriți să o încălcați.
- Un alt site de acest tip este exploit-db.com. Accesați pagina Web și selectați linkul "căutare", apoi efectuați o căutare pentru baza de date pe care doriți să o încălcați (de exemplu "oracol"). Introduceți codul Captcha care apare în câmpul de text, apoi executați căutarea.
- Asigurați-vă că identificați toate exploatările pe care doriți să le încercați să le utilizați pentru a ști ce trebuie să faceți în cazul în care puteți identifica o potențială încălcare a securității.
2
Găsiți o rețea Wi-Fi pentru a fi utilizată ca o punte pentru a ataca baza de date investigată. Pentru aceasta, folosiți tehnica numită "wardriving". Aceasta implică căutarea unei rețele fără fir garantată într-o anumită zonă, deplasarea într-o mașină, bicicletă sau pe jos și utilizarea unui scaner special de semnal radio (cum ar fi NetStumbler sau Kismet). "wardriving" este tehnic o procedură legală - ceea ce este ilegal este obiectivul care trebuie atins prin utilizarea rețelei fără fir garantată identificată prin această procedură.
3
Conectați-vă la rețeaua neasigurată pentru a efectua exploatarea pe baza de date pe care doriți să o încălcați. Dacă știți că ceea ce faceți este interzis, este evident că nu este o idee bună să acționați direct din rețeaua locală de domiciliu. Din acest motiv, este necesară identificarea unei rețele fără fir garantată, prin "wardriving", apoi efectuați exploatarea selectată fără teama de a fi descoperită.
Sfaturi
- Păstrați întotdeauna datele sensibile și informațiile personale într-o zonă a rețelei protejată de un paravan de protecție.
- Asigurați-vă că protejați accesul la rețeaua Wi-Fi cu o parolă, astfel încât i "wardriver" ei nu pot accesa rețeaua dvs. de domiciliu pentru a efectua o exploata.
- Identificați și solicitați sfaturi și informații utile altor hackeri. Uneori, cele mai bune cunoștințe și cunoștințe în materie de hacking pot fi învățate în afara internetului.
- Există programe speciale care efectuează automat acest tip de atacuri. sqlMap este cel mai popular program open source pentru a verifica vulnerabilitatea unui site la un atac SQL-Injection.
Avertismente
- Studiați legislația țării în care locuiți și înțelegeți ce repercusiuni personale ar putea suferi prin încălcarea unei baze de date sau a unui sistem informatic pe care nu îl dețineți.
- Niciodată nu încercați să accesați ilegal un sistem sau o bază de date utilizând accesul la internet al rețelei dvs. private direct.
- Rețineți că accesarea sau încălcarea unei baze de date despre care nu sunteți proprietarul de drept este întotdeauna o acțiune ilegală.
Distribuiți pe rețelele sociale:
înrudit
- Cum să citezi articolele din ziare
- Cum să activați utilizarea rețelei mobile 3G pe iPhone
- Cum se adaugă date într-o tabelă pivot
- Cum se adaugă oa doua axă Y la o diagramă Microsoft Excel
- Cum să ștergeți o bază de date MySQL
- Cum se conectează tabelele în Microsoft Access
- Cum se configurează instrumentul Hotspot personal pe iPhone
- Cum se creează o bază de date pentru clienți
- Cum se creează o bază de date utilizând Microsoft Access
- Cum se creează o bază de date dintr-o foaie de calcul Excel
- Cum se creează o bază de date în MySQL
- Cum se creează o bază de date în phpMyAdmin
- Cum se creează un set de date aleatoriu în Excel
- Cum se creează o bază de date SQL Server
- Cum se creează o bază de date pentru inventar pe Access
- Cum se creează o tabelă pe MySQL
- Cum se creează un script de bază de conectare cu PHP
- Cum se efectuează o interogare în MS Access 2007
- Cum de a învăța PHP și MySQL
- Cum se utilizează JSON
- Cum se utilizează SQL