საუკეთესო გზა იმის უზრუნველსაყოფად, რომ თქვენი მონაცემთა ბაზა დაცული იყოს ჰაკერების თავდასხმებისგან არის ვიფიქროთ ჰაკერების მსგავსად. თუ ხარ ჰაკერი, რა სახის ინფორმაციას ეძებ? როგორ მივიღოთ ეს ინფორმაცია? არსებობს სხვადასხვა ტიპის მონაცემთა ბაზები და მათი გატეხვის სხვადასხვა გზა, მაგრამ ჰაკერების უმეტესობა შეეცდება მოძებნოს ძირეული პაროლი ან გაუშვას მონაცემთა ბაზის ცნობილი ექსპლუატაცია. თქვენ შეგიძლიათ გატეხოთ მონაცემთა ბაზები, თუ იცნობთ SQL განცხადებებს და გესმით მონაცემთა ბაზის საფუძვლები.
ნაბიჯი
3 მეთოდი 1: SQL ინექციის გამოყენება
ნაბიჯი 1. იპოვეთ მონაცემთა ბაზის დაუცველობა
თქვენ უნდა გესმოდეთ მონაცემთა ბაზის განცხადებები, რომ შეძლოთ ამ მეთოდის გამოყენება. გადადით მონაცემთა ბაზის ვებ შესვლის ეკრანზე თქვენს ბრაუზერში და ჩაწერეთ '(ერთჯერადი ციტატები) მომხმარებლის სახელის ყუთში. დააჭირეთ ღილაკს "შესვლა". თუ ხედავთ შეცდომის შეტყობინებას, რომელშიც ნათქვამია „SQL გამონაკლისი: ციტირებული სტრიქონი არ არის სწორად შეწყვეტილი“ან „არასწორი სიმბოლო“, ეს ნიშნავს, რომ მონაცემთა ბაზა დაუცველია SQL– ს მიმართ.
ნაბიჯი 2. იპოვეთ სვეტების რაოდენობა
დაბრუნდით მონაცემთა ბაზის შესვლის გვერდზე (ან ნებისმიერი სხვა URL, რომელიც მთავრდება „id =“ან „catid =“) და დააწკაპუნეთ ბრაუზერის მისამართების ყუთზე. URL- ის ბოლოს დააჭირეთ სივრცის ზოლს და ჩაწერეთ
შეკვეთა 1 -ით
შემდეგ დააჭირეთ Enter. გაზარდეთ რიცხვი 2 -მდე და დააჭირეთ Enter. განაგრძეთ რიცხვების დამატება, სანამ არ მიიღებთ შეცდომის შეტყობინებას. სვეტის ნომერი რეალურად არის რიცხვი, რომელიც შეყვანილია იმ ნომრამდე, რომელმაც წარმოშვა შეცდომის შეტყობინება.
ნაბიჯი 3. იპოვეთ სვეტი, რომელიც იღებს მოთხოვნას (მოთხოვნა)
ბრაუზერის მისამართების ყუთში URL- ის ბოლოს შეცვალეთ
კატიდი = 1
ან
id = 1
ხდება
კატიდი = -1
ან
id = -1
რა დააჭირეთ სივრცის ზოლს და ჩაწერეთ
გაერთიანება აირჩიეთ 1, 2, 3, 4, 5, 6
(თუ არის 6 სვეტი). რიცხვები უნდა იყოს დალაგებული სვეტების საერთო რაოდენობამდე და თითოეული რიცხვი გამოყოფილია მძიმით. დააჭირეთ Enter და ნახავთ ნომრებს თითოეული სვეტისთვის, რომელმაც მიიღო განაცხადი.
ნაბიჯი 4. ჩადეთ SQL განცხადება სვეტში
მაგალითად, თუ გსურთ იცოდეთ ვინ არის ამჟამინდელი მომხმარებელი და ჩაწერეთ ინექცია სვეტში 2, ამოიღეთ ყველა ტექსტი URL– ში id = 1 – ის შემდეგ და დააჭირეთ სივრცის ზოლს. ამის შემდეგ, ტიკ
კავშირი აირჩიეთ 1, შეჯვარება (მომხმარებელი ()), 3, 4, 5, 6--
რა დააჭირეთ Enter- ს და ეკრანზე ნახავთ მონაცემთა ბაზის ამჟამინდელ მომხმარებლის სახელს. გამოიყენეთ სასურველი SQL განცხადება ინფორმაციის დასაბრუნებლად, როგორიცაა მომხმარებლის სახელების სია და პაროლების გატეხვა.
მეთოდი 2 დან 3: მონაცემთა ბაზის ძირეული პაროლის გატეხვა
ნაბიჯი 1. სცადეთ შეხვიდეთ როგორც root საწყისი (ნაგულისხმევი) პაროლით
ზოგიერთ მონაცემთა ბაზას არ აქვს საწყისი root (admin) პაროლი, ასე რომ თქვენ შეიძლება შეძლოთ პაროლის ყუთის გასუფთავება. ზოგიერთ მონაცემთა ბაზას აქვს საწყისი პაროლები, რომელთა მოპოვებაც ადვილია მონაცემთა ბაზის ტექნიკური დახმარების სამსახურის ფორუმის მოძიებით.
ნაბიჯი 2. სცადეთ ხშირად გამოყენებული პაროლი
თუ ადმინისტრატორი დაბლოკავს ანგარიშს პაროლით (სავარაუდოდ), სცადეთ ჩვეულებრივი მომხმარებლის სახელის/პაროლის კომბინაცია. ზოგიერთი ჰაკერი აქვეყნებს პაროლების სიას საჯარო საშუალებებისთვის, რომლებსაც ისინი იტეხავენ აუდიტის ინსტრუმენტების გამოყენებით. სცადეთ მომხმარებლის სახელისა და პაროლის სხვადასხვა კომბინაცია.
- სანდო საიტი, რომელსაც აქვს დაკავშირებული პაროლების სია არის
- პაროლის ერთდროულად ცდას შეიძლება გარკვეული დრო დასჭირდეს, მაგრამ ღირს ცდა, სანამ უფრო მკვეთრ მეთოდებს მიმართავ.
ნაბიჯი 3. გამოიყენეთ აუდიტის ინსტრუმენტები
თქვენ შეგიძლიათ გამოიყენოთ სხვადასხვა მოწყობილობა, რათა სცადოთ ათასობით სიტყვათა კომბინაცია ლექსიკონში და უხეში ძალის ასოები/რიცხვები/სიმბოლოები, სანამ პაროლი არ გაიბზარება.
-
ინსტრუმენტები, როგორიცაა DBPwAudit (Oracle, MySQL, MS-SQL და DB2) და Access Passview (MS Access– ისთვის) არის პაროლის აუდიტის პოპულარული ინსტრუმენტები და მათი გამოყენება შესაძლებელია მონაცემთა ბაზების უმეტესობისთვის. თქვენ ასევე შეგიძლიათ მოძებნოთ თქვენი მონაცემთა ბაზისთვის სპეციფიკური პაროლის შემოწმების უახლესი ინსტრუმენტები Google– ის საშუალებით. მაგალითად, სცადეთ ძებნა
პაროლის შემოწმების ინსტრუმენტი oracle db
- თუ გსურთ გატეხოს Oracle მონაცემთა ბაზა.
- თუ თქვენ გაქვთ ანგარიში სერვერზე, რომელიც მასპინძლობს მონაცემთა ბაზას, შეგიძლიათ გაუშვათ hash cracker პროგრამა, როგორიცაა ჯონ მომხსნელი მონაცემთა ბაზის პაროლის ფაილზე. ჰეშ ფაილის მდებარეობა დამოკიდებულია დაკავშირებულ მონაცემთა ბაზაზე.
- ჩამოტვირთეთ პროგრამები მხოლოდ სანდო საიტებიდან. გამოყენებამდე ყურადღებით შეისწავლეთ მოწყობილობა.
მეთოდი 3 -დან 3: მონაცემთა ბაზის ექსპლუატაციის გაშვება
ნაბიჯი 1. იპოვეთ ექსპლოიტი გასაშვებად
Secttools.org უკვე 10 წელზე მეტია რაც ასახავს უსაფრთხოების ინსტრუმენტებს (ექსპლოიტების ჩათვლით). ეს ინსტრუმენტები ზოგადად ენდობიან და ფართოდ იყენებენ სისტემის ადმინისტრატორებს მთელს მსოფლიოში უსაფრთხოების სისტემის ტესტირებისთვის. გადახედეთ ამ საიტის „ექსპლუატაციის“მონაცემთა ბაზას ან სხვა სანდო საიტებს ინსტრუმენტების ან სხვა ტექსტური ფაილების მოსაძებნად, რომლებიც დაგეხმარებათ მონაცემთა ბაზის უსაფრთხოების სისტემაში არსებული სუსტი წერტილების გამოყენებაში.
- კიდევ ერთი საიტი, რომელიც იყენებს დოკუმენტებს, არის www.exploit-db.com. ეწვიეთ საიტს და დააწკაპუნეთ საძიებო ბმულზე, შემდეგ მოძებნეთ მონაცემთა ბაზის ტიპი, რომლის გატეხვაც გსურთ (მაგალითად, "oracle"). ჩაწერეთ Captcha კოდი მოცემულ ყუთში და გააკეთეთ ძებნა.
- დარწმუნდით, რომ შეისწავლეთ ნებისმიერი ექსპლუატაცია, რომლის გაცნობაც გსურთ, რათა გაარკვიოთ, თუ როგორ უნდა მოაგვაროთ ნებისმიერი პრობლემა, რომელიც შეიძლება წარმოიშვას.
ნაბიჯი 2. იპოვნეთ დაუცველი ქსელები გარდერობის გამოყენებით
უორდრივირება არის მანქანით სიარული (ან ველოსიპედით სიარული), როდესაც მუშაობთ ქსელის სკანირების ინსტრუმენტზე (როგორიცაა NetStumbler ან Kismet) სუსტი უსაფრთხოების მქონე ქსელების მოსაძებნად. ეს მეთოდი ტექნიკურად უკანონოა.
ნაბიჯი 3. გამოიყენეთ მონაცემთა ბაზის ექსპლუატაცია სუსტი უსაფრთხოების ქსელებისგან
თუ თქვენ აკეთებთ იმას, რასაც არ უნდა აკეთებდეთ, უმჯობესია არ გააკეთოთ ეს თქვენი პირადი ქსელიდან. გამოიყენეთ ღია უკაბელო ქსელი, რომელიც აღმოჩენილია შენახვისას და გაუშვით გამოკვლეული და შერჩეული ექსპლუატაცია.
Რჩევები
- ყოველთვის შეინახეთ მგრძნობიარე მონაცემები ბუხრის უკან.
- დარწმუნდით, რომ დაიცავით უკაბელო ქსელი პაროლით, ასე რომ მეურვეებმა არ გამოიყენონ თქვენი სახლის ქსელი ექსპლუატაციის გასაშვებად.
- ითხოვეთ რჩევები სხვა ჰაკერებისგან. ზოგჯერ, საუკეთესო ჰაკერების მეცნიერება არ ვრცელდება ინტერნეტში.
გაფრთხილება
- გაიგეთ თქვენს ქვეყანაში ჰაკერების კანონები და შედეგები.
- არასოდეს შეეცადოთ მიიღოთ არალეგალური წვდომა მანქანებზე თქვენი საკუთარი ქსელიდან.
- მონაცემთა ბაზაზე წვდომა, რომელიც არ არის შენი, უკანონოა.
