Verilənlər bazanızın haker hücumlarından etibarlı olmasını təmin etməyin ən yaxşı yolu, haker kimi düşünməkdir. Bir hakersinizsə, hansı məlumatları axtarırsınız? Bu məlumatı necə əldə etmək olar? Məlumat bazalarının müxtəlif növləri və onları sındırmağın müxtəlif yolları var, lakin əksər hakerlər kök şifrəni tapmağa və ya məlum verilənlər bazası istismarlarını həyata keçirməyə çalışacaqlar. SQL ifadələrini bilirsinizsə və verilənlər bazasının əsaslarını başa düşürsünüzsə verilənlər bazasını sındıra bilərsiniz.
Addım
Metod 1 /3: SQL Enjeksiyonundan istifadə
Addım 1. Verilənlər bazası zəifliklərini tapın
Bu üsuldan istifadə etmək üçün verilənlər bazası ifadələrini başa düşməlisiniz. Veb brauzerinizdəki verilənlər bazası veb giriş ekranına gedin və istifadəçi adı qutusuna '(tək tirnələr) yazın. "Giriş" düyməsini basın. "SQL İstisnası: alınmış sətir düzgün şəkildə sona çatmadı" və ya "etibarsız xarakter" yazan bir səhv mesajı görürsünüzsə, bu verilənlər bazası SQL -ə qarşı həssasdır.
Addım 2. Sütun sayını tapın
Verilənlər bazasına giriş səhifəsinə (və ya "id =" və ya "catid =" ilə bitən hər hansı digər URL) qayıdın və brauzer ünvanı qutusuna vurun. URL -nin sonunda boşluq düyməsini basın və yazın
1 -ə qədər sifariş verin
sonra Enter düyməsini basın. Nömrəni 2 -ə artırın və Enter düyməsini basın. Bir səhv mesajı alana qədər nömrələr əlavə etməyə davam edin. Sütun nömrəsi əslində səhv mesajını yaradan nömrədən əvvəl daxil edilən rəqəmdir.
Addım 3. İstəyi (sorğu) qəbul edən sütunu tapın
Brauzer ünvan qutusundakı URL -nin sonunda dəyişdirin
catid = 1
və ya
id = 1
Olur
katid = -1
və ya
id = -1
. Boşluq çubuğuna basın və yazın
birlik seçin 1, 2, 3, 4, 5, 6
(6 sütun varsa). Nömrələr, sütunların ümumi sayına qədər və hər nömrə vergüllə ayrılmış qədər sıralanmalıdır. Enter düyməsini basın və tətbiqi qəbul edən hər bir sütunun nömrələrini görəcəksiniz.
Addım 4. SQL ifadəsini sütuna daxil edin
Məsələn, cari istifadəçinin kim olduğunu bilmək və 2 -ci sütuna enjeksiyon qoymaq istəyirsinizsə, id = 1 -dən sonra URL -dəki bütün mətni silin və boşluq çubuğuna basın. Bundan sonra tik
birlik seçin 1, concat (user ()), 3, 4, 5, 6--
. Enter düyməsini basın və ekranda mövcud verilənlər bazası istifadəçi adını görəcəksiniz. Hack etmək üçün istifadəçi adları və parolların siyahısı kimi məlumatları qaytarmaq üçün istədiyiniz SQL ifadəsini istifadə edin.
Metod 2 /3: Veritabanı Kök Parolunu Hacking
Addım 1. Başlanğıc (standart) parol ilə kök olaraq daxil olmağa çalışın
Bəzi verilənlər bazalarında ilkin kök (admin) şifrəsi yoxdur, buna görə parol qutusunu silə bilərsiniz. Bəzi məlumat bazalarında, verilənlər bazasının texniki yardım xidməti forumunda axtarılaraq asanlıqla əldə edilə bilən ilkin parollar var.
Addım 2. Ümumi istifadə olunan şifrəni sınayın
Administrator hesabı bir parolla kilidləyirsə (çox güman ki), adi istifadəçi adı/parol birləşməsini sınayın. Bəzi hakerlər audit vasitələrindən istifadə edərək hack etdikləri ictimai vasitələrə parol siyahıları göndərirlər. Fərqli istifadəçi adı və parol birləşmələrini sınayın.
- Əlaqəli parolların siyahısı olan etibarlı bir sayt
- Bir anda bir parol sınamaq bir az vaxt ala bilər, amma daha kəskin üsullara müraciət etməzdən əvvəl sınamağa dəyər.
Addım 3. Audit vasitələrindən istifadə edin
Şifrə çatlayana qədər lüğətdə minlərlə söz birləşməsini sınamaq üçün müxtəlif cihazlardan istifadə edə və hərfləri/rəqəmləri/işarələri istifadə edə bilərsiniz.
-
DBPwAudit (Oracle, MySQL, MS-SQL və DB2 üçün) və Access Passview (MS Access üçün) kimi vasitələr populyar parol yoxlama vasitələridir və əksər verilənlər bazası üçün istifadə edilə bilər. Google vasitəsilə verilənlər bazanıza xas olan ən son parol yoxlama vasitələrini də axtara bilərsiniz. Məsələn, axtarmağa çalışın
parol yoxlama vasitəsi oracle db
- Oracle verilənlər bazasını sındırmaq istəyirsinizsə.
- Verilənlər bazasına ev sahibliyi edən serverdə hesabınız varsa, verilənlər bazası parol sənədində John the Ripper kimi bir hash kraker proqramı işlədə bilərsiniz. Hash faylının yeri əlaqəli verilənlər bazasından asılıdır.
- Proqramları yalnız etibarlı saytlardan yükləyin. Cihazı istifadə etməzdən əvvəl diqqətlə araşdırın.
Metod 3 /3: Verilənlər bazası istismarını işlətmək
Addım 1. Qaçmaq üçün bir istismar tapın
Secttools.org 10 ildən artıqdır ki, təhlükəsizlik vasitələrini (istismar daxil olmaqla) sənədləşdirir. Bu vasitələr, ümumiyyətlə, bütün dünyada sistem idarəçiləri tərəfindən təhlükəsizlik sistemi sınaqları üçün istifadə olunur. Verilənlər bazası təhlükəsizlik sisteminin zəif nöqtələrini istismar etməyə kömək edən alətlər və ya digər mətn sənədləri üçün bu saytdakı və ya digər etibarlı saytlardakı "İstismar" verilənlər bazasına baxın.
- Sənədlərin istismar etdiyi başqa bir sayt www.exploit-db.com saytıdır. Saytı ziyarət edin və Axtarış bağlantısını vurun, sonra hack etmək istədiyiniz verilənlər bazası növünü axtarın (məsələn, "oracle"). Verilən qutuya Captcha kodunu yazın və axtarış aparın.
- Baş verə biləcək hər hansı bir problemi necə həll edəcəyinizi öyrənmək istədiyiniz istismarları araşdırdığınızdan əmin olun.
Addım 2. Qoruyucu vasitələrdən istifadə edərək həssas şəbəkələri tapın
Wardriving, zəif təhlükəsizliyi olan şəbəkələri axtarmaq üçün bir şəbəkə tarama vasitəsi (NetStumbler və ya Kismet kimi) işləyərkən bir ərazini gəzmək (və ya velosiped sürmək və ya gəzmək) deməkdir. Bu üsul texniki cəhətdən qanunsuzdur.
Addım 3. Zəif təhlükəsizlik şəbəkələrindən verilənlər bazası istismarlarından istifadə edin
Etməməli olduğunuz bir şeyi edirsinizsə, bunu şəxsi şəbəkənizdən etməmək daha yaxşıdır. Qorunarkən tapılan açıq simsiz şəbəkədən istifadə edin və araşdırılmış və seçilmiş istismarları işlədin.
İpuçları
- Həmişə həssas məlumatları bir təhlükəsizlik divarının arxasında saxlayın.
- Simsiz şəbəkəni parolla qoruduğunuzdan əmin olun ki, idarəçilər ev şəbəkənizdən istifadə edə bilməsinlər.
- Digər hakerlərdən məsləhət istəyin. Bəzən ən yaxşı hakerlik elmi internetdə yayılmır.
Xəbərdarlıq
- Ölkənizdə hack etmənin qanunlarını və nəticələrini anlayın.
- Heç vaxt öz şəbəkənizdən maşınlara qanunsuz giriş əldə etməyə çalışmayın.
- Sizin olmayan bir verilənlər bazasına giriş əldə etmək qanunsuzdur.