Innhold

• Fremgangsmåte
• Råd
• Advarsel

Den beste måten å sikre at en database er trygg fra hackere er å tenke som en hacker. Hvis du var en hacker, hva slags informasjon ville du se etter? Hva vil du gjøre for å få den informasjonen? Det finnes en rekke metoder for å hacke forskjellige typer databaser, men de fleste hackere vil prøve å knekke høytpassord eller starte databaseangrep. Hvis du er kjent med SQL-kommandoer og forstår grunnleggende programmeringsspråk, kan du prøve å hacke en database.

Fremgangsmåte

Metode 1 av 3: Ved SQL-injeksjon

1. 

   Identifiser svake punkter i databasen. Du må være i stand til å håndtere databasekommandoer i god tid før du kan bruke denne metoden. Først åpner du påloggingsskjermen for databasens webgrensesnitt i nettleseren og skriver ’ (en apostrof) i brukernavnfeltet. Klikk “Logg inn”. Hvis feilen "SQL-unntak: sitert streng ikke ordentlig avsluttet" eller "ugyldig tegn" vises, er databasen lett å bli kompromittert. SQL-injeksjonsteknikk.

2. 

   
   
   Finn antall kolonner. Gå tilbake til påloggingssiden for databasen (eller hvilken som helst annen URL som slutter med “id =” eller “catid =”) og klikk på nettleserens adresselinje. Trykk på mellomrom og skriv etter URL-en bestill innen 1 og trykk deretter på ↵ Gå inn. Øk til 2 og trykk ↵ Gå inn. Fortsett å øke til du får en feil. Det faktiske kolonnenummeret er nummeret som er angitt før nummeret som systemet rapporterer om en feil.

3. 

   
   
   Finn kolonnen for å godta variabelen. Endre den på slutten av URL-en i adressefeltet catid = 1 bra id = 1 blir catid = -1 eller id = -1.Trykk på mellomrom og skriv fagforening velg 1,2,3,4,5,6 (hvis det er 6 kolonner). Du må oppgi tallet i stigende rekkefølge opp til totalt antall kolonner og atskilt med komma. trykk ↵ Gå inn, vil tallet på hver kolonne akseptere variabelen.

4. 

   
   
   Injiser SQL-setningen i kolonnen. Hvis du for eksempel vil kjenne den nåværende brukeren og injisere innholdet i kolonne 2, sletter du alt etter id = 1-delen i URL-en og trykker mellomrom. Gå så inn union select 1, concat (user ()), 3,4,5,6- og trykk ↵ Gå innvises det gjeldende databasen brukernavnet på skjermen. Velg SQL-kommandoen for å få informasjonen du trenger, for eksempel en liste over brukernavn og passord du skal knekke. annonse

Metode 2 av 3: Å knekke databasens høye passord

1. 

   Prøv å logge på som den avanserte brukeren med standardpassordet. Noen databaser har ikke hovedpassordet (admin - admin) som standard, så du kan la passordfeltet være tomt. Andre har standardpassord som lett finnes i tekniske supportfora om databasen.

2. 

   Prøv populære passord. Hvis administratorpassordbeskyttet en konto (veldig vanlig), kan du prøve vanlige kombinasjonsuttrykk for brukernavn / passord. Noen hackere publiserer en liste over passord de knekker når de bruker revisjonsverktøy. Prøv noen kombinasjoner av brukernavn og passord.
   • Siden https://github.com/danielmiessler/SecLists/tree/master/Passwords er kjent for sin liste over passord som hackere samler inn.
   • Å gjette passordet manuelt kan ta tid, men du kan prøve det før du bruker mer komplekse måter, da det ikke koster noe.

3. 

   Bruk et passordkontrollverktøy. Du kan bruke en rekke verktøy for å prøve ut tusenvis av ordforråd og bokstav / alfanumeriske kombinasjoner med et voldsomt angrep til passordet er sprukket.
   • DBPwAudit (for Oracle, MySQL, MS-SQL og DB2) og Access Passview (for MS Access) er populære passordkontrollverktøy som kan fungere på de fleste databaser. Du kan også søke på Google etter nyere verktøy for passordkontroll som er spesifikke for spesifikke databaser. For eksempel, hvis du hacker Oracle-databasen, så se etter nøkkelord passordkontrollverktøy oracle db.
   • Hvis du har en konto på serveren som er vert for databasen, kan du utføre et hash-verktøy som John the Ripper for å dekryptere databasepassordfilen. Plasseringen til hash-filen vil variere fra database til database.
   • Du bør bare laste ned verktøyet fra nettsteder du stoler på. Gjør en online undersøkelse av verktøyet du ønsker før du bruker det.
   annonse

Metode 3 av 3: Databaseangrep.

1. 

   Finn utnyttelsen å utføre. Sectools.org er en generell katalog over sikkerhetsverktøy (inkludert utnyttelse) som har vært i drift i mer enn ti år. Verktøyet deres er ganske anerkjent og brukes av mange systemadministratorer over hele verden for å sjekke nettverkssikkerhet. Bla gjennom katalogen "Utnyttelse" (eller et annet klarert nettsted) for et verktøy eller en tekstfil som kan hjelpe deg med å angripe sikkerhetsproblemet i en database.
   • En annen side om utnyttelse er www.exploit-db.com. Gå til nettstedet ovenfor og klikk på Søk-lenken for å søke etter typen database du vil hacke (f.eks. "Oracle"). Skriv inn Captcha-koden i boksen og søk.
   • Du må studere nøye all utnyttelsen vil prøve å kunne klare seg i tilfelle et problem oppstår.

2. 

   Finn sårbare nettverk for tilgang (wardriving). Wardriving er det å kjøre bil (til og med sykle eller gå) rundt et område og bruke en nettverksskanner (som NetStumbler / Kismet) for å finne usikrede nettverk. I utgangspunktet bryter ikke denne oppførselen loven. Men det er mulig å få tilgang til internett selv og gjøre ulovlige ting.

3. 

   Bruk exploit til å angripe databasen fra nettverket du nettopp har tilgang til. Hvis du planlegger å gjøre noe som ikke burde være, er det ikke en god ide å bruke hjemmenettverket ditt. Finn og få tilgang til usikret Wi-Fi, og angrip deretter databasen med utnyttelsen du har undersøkt og valgt. annonse

Råd

• Sensitive data må beskyttes bak en brannmur.
• Krypter Wi-Fi med et passord slik at uautoriserte tilganger ikke kan bruke hjemmenettverket til å angripe databasen din.
• Du kan finne en hacker og be om råd. Noen ganger er de beste tingene ikke på Internett.

Advarsel

• Du må forstå lovene og konsekvensene av databasehacking i Vietnam.
• Aldri få tilgang til noen datamaskin fra ditt private nettverk.
• Det er ulovlig å få tilgang til databasen til en annen person.