Sisältö

• Askeleet
• Menetelmä 1/3: SQL -injektio
• Tapa 2/3: Pääsalasanan murtaminen
• Tapa 3/3: Tietokannan puutteet
• Vinkkejä
• Varoitukset

Jos haluat suojata tietokantaasi hakkereilta, sinun on ajateltava hakkerin tavoin. Jos olisit hakkeri, mitä tietoja etsisit? Miten saisit sen? Tietokantoja on monia erilaisia ​​ja monia tapoja hakkeroida niitä. Usein hakkerit yrittävät murtaa pääsalasanan tai käyttää hyväksikäyttöä. Jos olet perehtynyt SQL -käskyihin ja tietokannan peruskäsitteisiin, yritä murtaa yksi niistä.

Askeleet

Menetelmä 1/3: SQL -injektio

1. 1 Selvitä, onko tietokannassa haavoittuvuuksia. Tätä menetelmää varten sinun on ymmärrettävä tietokantaoperaattorit. Käynnistä selaimesi ja avaa tietokannan kirjautumissivun käyttöliittymä. Kirjoita sitten '(yksi lainaus) käyttäjänimen kenttään. Napsauta Kirjaudu sisään. Jos saat virheilmoituksen "SQL -poikkeus: lainausmerkkijonoa ei suoritettu väärin" tai "Virheellinen merkki", tietokanta on altis SQL -injektiolle.
2. 2 Etsi sarakkeiden määrä. Palaa tietokannan kirjautumissivulle (tai mihin tahansa muuhun osoitteeseen, joka päättyy "id =" tai "catid =") ja napsauta osoiteriviä. Paina välilyöntiä osoitteen jälkeen ja kirjoita järjestys 1: llä ja paina sitten Enter... Suurenna numero 2: ksi ja paina Enter... Lisää tilausta, kunnes virhe tulee näkyviin. Ennen väärin kirjoitettua numeroa antamasi numero on todellinen sarakkeiden määrä.
3. 3 Selvitä, mitkä viestit hyväksyvät hakulausekkeet. Etsi osoitepalkki ja muuta osoitteen loppu arvosta catid = 1 tai id = 1 arvoon catid = -1 tai id = -1. Paina välilyöntiä ja kirjoita union Valitse 1,2,3,4,5,6 (jos sarakkeita on 6).Laskennan on oltava enintään sarakkeiden kokonaismäärä, ja jokainen numero on erotettava pilkulla. Klikkaa Enter ja näet kaikkien kyselyitä hyväksyvien sarakkeiden numerot.
4. 4 Kirjoita SQL -käskyt sarakkeeseen. Jos haluat esimerkiksi selvittää nykyisen käyttäjän nimen ja upottaa koodin sarakkeeseen 2, poista kaikki osoiterivin id = 1 jälkeen ja paina välilyöntiä. Kirjoita sitten union select 1, concat (user ()), 3,4,5,6--. Klikkaa Enter ja näytössä näkyy nykyisen tietokannan käyttäjän nimi. Syötä erilaisia ​​SQL -lauseita näyttääksesi erilaisia ​​tietoja, kuten luettelon käyttäjänimistä ja salasanoista.

Tapa 2/3: Pääsalasanan murtaminen

1. 1 Kokeile kirjautua sisään pääkäyttäjänä oletussalasanalla. Joillakin tietokannoilla ei ole pääkäyttäjän (admin) oletussalasanaa, joten yritä kirjautua sisään tyhjällä salasanalla. Muilla tietokannoilla on oletussalasana, joka löytyy helposti teknisen tuen foorumilta.
2. 2 Kokeile yleisiä salasanoja. Jos järjestelmänvalvoja on suojannut salasanan salasanalla (mikä on hyvin todennäköistä), yritä käyttää tavallisia käyttäjätunnuksen ja salasanan yhdistelmiä. Jotkut hakkerit julkaisevat julkisesti luetteloita murtuneista salasanoista ja käyttävät erityisiä murtamisohjelmia. Kokeile erilaisia ​​käyttäjätunnuksen ja salasanan yhdistelmiä.
   • Löydät salasanakokoelmasi tästä luotetusta sivustosta: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
   • Salasanojen syöttäminen manuaalisesti voi kestää hyvin kauan, mutta kokeile onneasi joka tapauksessa ja siirry vasta sitten raskaaseen tykistöön.
3. 3 Käytä salasanan murtamisohjelmaa. Käytä erilaisia ​​ohjelmia ja yritä murtaa salasanasi kirjoittamalla tuhansia sanoja ja kirjainten, numeroiden ja symbolien yhdistelmiä.
   • Suosittuja salasanan murtamisohjelmia ovat: DBPwAudit (Oracle, MySQL, MS-SQL ja DB2) ja Access Passview (MS Access). Heidän avullaan voit murtaa monien tietokantojen salasanan. Löydät myös jailbreak -ohjelman, joka on erityisesti suunniteltu tietokantaasi Googlessa. Kirjoita esimerkiksi hakukenttään oracle db hakkerointiohjelma, jos haluat hakata Oracle -tietokannan.
   • Jos sinulla on tili tietokantaa isännöivällä palvelimella, suorita tiivisteiden murtamisohjelma (kuten Viiltäjä John) ja yritä murtaa salasanatiedosto. Hash -tiedosto sijaitsee eri paikoissa eri tietokannoissa.
   • Lataa ohjelmia vain luotetuilta sivustoilta. Tutki ohjelmat huolellisesti ennen niiden käyttöä.

Tapa 3/3: Tietokannan puutteet

1. 1 Etsi hyväksikäyttö. Sectools.org on koonnut luettelon eri puolustuksista (myös hyväksikäytöstä) jo kymmenen vuoden ajan. Heidän ohjelmillaan on hyvä maine, ja järjestelmänvalvojat käyttävät niitä järjestelmiensä suojaamiseen ympäri maailmaa. Avaa niiden hyväksikäyttöluettelo (tai etsi ne toiselta luotetulta sivustolta) ja etsi ohjelmia tai tekstitiedostoja, jotka voivat tunkeutua tietokantoihin.
   • Toinen sivusto, jossa on luettelo hyödyistä, on www.exploit-db.com. Siirry heidän verkkosivustolleen ja napsauta "Hae" -linkkiä ja etsi sitten tietokanta, jonka haluat hakata (esimerkiksi "oraakkeli"). Kirjoita captcha asianmukaiseen kenttään ja napsauta hakupainiketta.
   • Muista tutkia kaikki hyödyt, joita aiot testata, jotta tiedät mitä tehdä, jos ongelma ilmenee.
2. 2 Löydä haavoittuva verkko seurantatoiminnolla. Wardriving etsii suojaamattomia verkkoja ajamalla (pyöräillen tai kävellen) alueen ympärillä, jossa verkon skannausohjelmisto on käytössä (kuten NetStumbler tai Kismet). Teknisesti seurakuntatoiminta on laillista, mutta seuraamuksilla löytämäsi laiton toiminta verkosta ei ole.
3. 3 Hyödynnä tietokannan aukko haavoittuvassa verkossa. Jos teet jotain, mitä sinun ei pitäisi, pysy poissa verkostasi. Yhdistä langattoman yhteyden kautta johonkin avoimesta verkosta, jonka löysit valvomalla, ja käynnistä valittu hyödyntäminen.

Vinkkejä

• Pidä tärkeät tiedot aina palomuurin takana.
• Varmista, että suojaat langattoman verkon salasanalla, jotta vartijat eivät voi käyttää kotiverkkoasi hyväksikäytön käynnistämiseen.
• Etsi muita hakkereita ja pyydä heiltä vinkkejä.Joskus hyödyllisintä tietoa hakkereiden työstä ei löydy julkisesti.

Varoitukset

• Tutustu hakkeroinnin lakeihin ja seurauksiin maassasi.
• Älä koskaan yritä saada laitonta pääsyä laitteellesi verkostasi.
• Toisen tietokantaan kirjautuminen on laitonta.