Маалымат базаңыздын хакерлерден коопсуз экенине ынануунун эң жакшы жолу - хакер сыяктуу ойлонуу. Эгер сиз хакер болсоңуз, кандай маалыматты издейт элеңиз? Сиз аны алууга кантип аракет кылат элеңиз? Берилиштер базасынын көптөгөн түрлөрү жана аларды бузуунун көптөгөн жолдору бар, бирок көпчүлүк хакерлер маалымат базасынын түпкү сырсөзүн бузууга же белгилүү маалымат базасын эксплуатациялоого аракет кылышат. Эгерде сиз SQL билдирүүлөрүнө ынгайлуу болсоңуз жана маалымат базасынын негиздерин түшүнсөңүз, маалымат базасын бузуп алсаңыз болот.
Кадамдар
Метод 3 3: SQL инъекциясын колдонуу
Кадам 1. Базанын аялуу экенин билиңиз
Бул ыкманы колдонуу үчүн сиз маалымат базасынын билдирмелери менен иштешиңиз керек. Веб -браузериңиздеги маалымат базасынын веб -интерфейсине кирүү экранын ачыңыз жана колдонуучунун талаасына a '(бир цитата) териңиз. "Кирүү" чыкылдатыңыз. Эгерде сиз "SQL Exception: цитата келтирилген сап туура эмес токтотулган" же "жараксыз символ" деген сыяктуу ката көрсөңүз, анда маалымат базасы SQL инъекциясына алсыз.
Кадам 2. Мамычалардын санын табыңыз
Маалыматтар базасы үчүн кирүү барагына кайтыңыз (же "id =" же "catid =" менен аяктаган башка URL) жана браузердин дарек кутусуна чыкылдатыңыз. URLден кийин боштукту басып, териңиз
заказ 1ге чейин
анан hit Enter басыңыз. Санды 2ге чейин көбөйтүңүз жана ↵ Enter басыңыз. Ката кетмейинче көбөйтүүнү улантыңыз. Колонкалардын чыныгы саны - бул сизге ката берген санга чейин киргизилген сан.
Кадам 3. Кайсы мамычалар сурамдарды кабыл алаарын табыңыз
Дарек тилкесиндеги URLдин аягында
катид = 1
же
id = 1
чейин
катид = -1
же
id = -1
. Боштукту басып, териңиз
союз 1, 2, 3, 4, 5, 6 танда
(эгер 6 мамыча болсо). Сандар мамычалардын жалпы суммасына чейин эсептелиши керек жана ар бири үтүр менен ажыратылышы керек. Press Enter баскычын басыңыз жана суроону кабыл ала турган ар бир мамычанын номерлерин көрөсүз.
Step 4. Колонкага SQL билдирүүлөрүн сайыңыз
Мисалы, эгер сиз учурдагы колдонуучуну билгиңиз келсе жана инъекцияны 2 -графага салгыңыз келсе, URLдеги id = 1ден кийин баарын өчүрүп, боштукту басыңыз. Андан кийин, териңиз
союз тандоо 1, concat (user ()), 3, 4, 5, 6--
. Hit ↵ Enter жана экранда учурдагы маалымат базасынын колдонуучусунун атын көрөсүз. Маалыматты кайтаргыңыз келген каалаган SQL билдирүүлөрүн колдонуңуз, мисалы, колдонуучунун тизмеси жана сырсөздөр.
Метод 2 3: Database Root Сырсөзүн бузуу
Кадам 1. Демейки сырсөз менен тамыр катары кирип көрүңүз
Кээ бир маалымат базаларында демейки боюнча root (администратор) сырсөзү жок, андыктан сырсөз талаасын бош калтырып кирсеңиз болот. Кээ бирлердин демейки сырсөздөрү бар, аларды базанын техникалык колдоо форумдарынан издөө аркылуу оңой табууга болот.
Кадам 2. Жалпы сырсөздөрдү колдонуп көрүңүз
Эгерде администратор каттоо эсебин сырсөз менен коргогон болсо (мүмкүн болгон жагдай), жалпы колдонуучу аты/сырсөз айкалыштарын колдонуп көрүңүз. Кээ бир хакерлер текшерүү куралдарын колдонуп жатканда сынган сырсөздөрүнүн тизмесин ачык түрдө жарыялашат. Башка колдонуучу аты менен сырсөздүн айкалышын колдонуп көрүңүз.
- Сырсөз тизмелери чогултулган кадыр -барктуу сайт
- Сырсөздөрдү кол менен колдонуу көп убакытты талап кылат, бирок чоң мылтыктарды сындыруудан мурун аны атуунун эч кандай зыяны жок.
Кадам 3. Сырсөздү текшерүүчү куралды колдонуңуз
Сырсөз жарылганча миңдеген сөздүк сөздөрдү жана тамга/сан/символ айкалыштарын орой күч менен колдонуу үчүн ар кандай куралдарды колдонсоңуз болот.
-
DBPwAudit (Oracle, MySQL, MS-SQL жана DB2 үчүн) жана Access Passview (MS Access үчүн) сыяктуу куралдар көпчүлүк маалымат базаларына каршы иштетиле турган популярдуу сырсөздү текшерүүчү куралдар. Ошондой эле, Google'дан маалымат базаңыз үчүн жаңы сырсөздү текшерүүчү куралдарды издей аласыз. Мисалы, издөө
oracle db сырсөзүн текшерүү куралы
- эгер сиз Oracle маалымат базасын бузуп жатсаңыз.
- Эгерде сизде маалымат базасы жайгашкан серверде каттоо эсебиңиз бар болсо, анда сиз базанын сырсөз файлына каршы Джон Риппер сыяктуу хэш -крекерди иштете аласыз. Хэш файлынын жайгашкан жери маалымат базасына жараша айырмаланат.
- Сиз ишене турган сайттардан гана жүктөп алыңыз. Аларды колдонуудан мурун кеңири изилдөө куралдары.
3 методу 3: Running Database Exploits
Кадам 1. иштетүү үчүн эксплойт табыңыз
Sectools.org он жылдан ашуун убакыттан бери коопсуздук куралдарын (эксплуатацияларды кошкондо) каталогго салып келет. Алардын шаймандары абройлуу жана системанын администраторлору тарабынан коопсуздукту текшерүү үчүн колдонулат. Маалымат базаларындагы коопсуздук тешиктерин колдонууга жардам берген куралдарды же текст файлдарын табуу үчүн алардын "Эксплуатация" маалымат базасын (же башка ишенимдүү сайтты табыңыз) карап чыгыңыз.
- Эксплуатацияланган дагы бир сайт-www.exploit-db.com. Алардын веб -сайтына кирип, Издөө шилтемесин чыкылдатыңыз, андан кийин сиз бузууну каалаган маалымат базасынын түрүн издеңиз (мисалы, "oracle"). Берилген аянтка Captcha кодун териңиз жана издеңиз.
- Потенциалдуу көйгөйлөр пайда болгондо эмне кылуу керек экенин билүү үчүн, пландаштырып жаткан бардык эрдиктериңизди изилдеңиз.
Кадам 2. Коргоочулук менен алсыз тармакты табыңыз
Камсыздоо - бул корголбогон тармакты издеп, тармакты сканерлөө куралын (NetStumbler же Kismet сыяктуу) иштетип жатканда бир аймакты айланып (же велосипед тээп же жөө басуу). Кам көрүү техникалык жактан мыйзамдуу. Сактануу учурунда тапкан тармактан мыйзамсыз бир нерсе кылуу - андай эмес.
Кадам 3. Аялуу тармактан базанын эксплойтун колдонуңуз
Эгер сиз кылбай турган нерсени жасап жатсаңыз, анда муну өз тармагыңыздан жасоо жакшы эмес. Коопсуздук учурунда табылган ачык тармактардын бирине зымсыз туташыңыз жана сиз изилдеп, тандаган эксплуатацияны иштетиңиз.
Кеңештер
- Ар дайым файервалдын артында купуя маалыматтарды сактаңыз.
- Зымсыз тармактарыңызды сырсөз менен коргоону унутпаңыз, андыктан сакчылар үй тармагыңызды эксплуатациялоо үчүн колдоно алышпайт.
- Башка хакерлерди таап, кеңеш сураңыз. Кээде эң жакшы хакердик билим коомдук Интернеттен сакталат.
Эскертүүлөр
- Сиздики болбогон маалымат базасына кирүү мыйзамсыз.
- Өлкөңүздөгү хакерлердин мыйзамдарын жана кесепеттерин түшүнүңүз.
- Эч качан өз тармагыңыздан машинага мыйзамсыз кирүүгө аракет кылбаңыз.
