საუკეთესო გზა იმის უზრუნველსაყოფად, რომ თქვენი მონაცემთა ბაზა დაცულია ჰაკერებისგან არის ვიფიქროთ ჰაკერების მსგავსად. ჰაკერი რომ ყოფილიყავით, რა სახის ინფორმაციას ეძებდით? როგორ შეეცდებოდი მის მიღებას? არსებობს მრავალი სახის მონაცემთა ბაზა და მათი გატეხვის მრავალი განსხვავებული გზა, მაგრამ ჰაკერების უმეტესობა ან შეეცდება გატეხოს მონაცემთა ბაზის ძირეული პაროლი, ან გაუშვას მონაცემთა ბაზის ცნობილი ექსპლუატაცია. თუ თქვენ კომფორტულად გრძნობთ SQL განცხადებებს და გესმით მონაცემთა ბაზის საფუძვლები, შეგიძლიათ გატეხოთ მონაცემთა ბაზა.
ნაბიჯები
3 მეთოდი 1: SQL ინექციის გამოყენება
ნაბიჯი 1. გაარკვიეთ დაუცველია თუ არა მონაცემთა ბაზა
თქვენ უნდა იყოთ მოსახერხებელი მონაცემთა ბაზის განცხადებებში, რომ გამოიყენოთ ეს მეთოდი. გახსენით მონაცემთა ბაზის ვებ ინტერფეისის შესვლის ეკრანი თქვენს ბრაუზერში და ჩაწერეთ a’(ერთი ციტატა) მომხმარებლის სახელის ველში. დააჭირეთ ღილაკს "შესვლა". თუ ხედავთ შეცდომას, რომელიც ამბობს მსგავსს „SQL გამონაკლისი: ციტირებული სტრიქონი არ არის სათანადოდ დამთავრებული“ან „არასწორი სიმბოლო“, მონაცემთა ბაზა დაუცველია SQL ინექციების მიმართ.
ნაბიჯი 2. იპოვეთ სვეტების რაოდენობა
დაბრუნდით მონაცემთა ბაზის შესვლის გვერდზე (ან ნებისმიერი სხვა URL, რომელიც მთავრდება „id =“ან „catid =“) და დააწკაპუნეთ ბრაუზერის მისამართების ყუთში. URL- ის შემდეგ დააჭირეთ სივრცის ზოლს და ჩაწერეთ
შეკვეთა 1 -ით
შემდეგ დააჭირეთ ↵ Enter. გაზარდეთ რიცხვი 2 -მდე და დააჭირეთ ↵ Enter. გააგრძელეთ სანამ არ მიიღებთ შეცდომას. სვეტების ფაქტობრივი რაოდენობა არის ნომერი, რომელიც შეიყვანეთ იმ რიცხვამდე, რომელმაც შეცდომა მოგცა.
ნაბიჯი 3. იპოვეთ რომელი სვეტები მიიღებენ შეკითხვებს
მისამართის ზოლში URL- ის ბოლოს შეცვალეთ
კატიდი = 1
ან
id = 1
რათა
კატიდი = -1
ან
id = -1
რა დააჭირეთ სივრცის ზოლს და ჩაწერეთ
გაერთიანება აირჩიეთ 1, 2, 3, 4, 5, 6
(თუ 6 სვეტია). რიცხვები უნდა ჩაითვალოს სვეტების საერთო რაოდენობამდე და თითოეული გამოყოფილი იყოს მძიმით. დააჭირეთ ↵ Enter და ნახავთ თითოეული სვეტის ნომრებს, რომლებიც მიიღებენ მოთხოვნას.
ნაბიჯი 4. ჩაწერეთ SQL განცხადებები სვეტში
მაგალითად, თუ გსურთ იცოდეთ ამჟამინდელი მომხმარებელი და გსურთ ინექცია ჩაწეროთ მე -2 სვეტში, წაშალეთ ყველაფერი URL- ში id = 1 -ის შემდეგ და დააჭირეთ სივრცის ზოლს. შემდეგ, აკრიფეთ
კავშირი აირჩიეთ 1, შეჯვარება (მომხმარებელი ()), 3, 4, 5, 6--
რა დააჭირეთ ↵ Enter- ს და ეკრანზე დაინახავთ მონაცემთა ბაზის ამჟამინდელი მომხმარებლის სახელს. გამოიყენეთ ნებისმიერი SQL განაცხადი, რომელიც გსურთ ინფორმაციის დასაბრუნებლად, როგორიცაა მომხმარებლის სახელების სია და პაროლების გასატეხად.
მეთოდი 2 დან 3: მონაცემთა ბაზის ძირეული პაროლის გატეხვა
ნაბიჯი 1. სცადეთ შეხვიდეთ როგორც root ნაგულისხმევი პაროლით
ზოგიერთ მონაცემთა ბაზას ნაგულისხმევი არ აქვს root (admin) პაროლი, ასე რომ თქვენ შეიძლება შეძლოთ პაროლის ველი ცარიელი დატოვება. ზოგიერთს აქვს სტანდარტული პაროლები, რომელთა ნახვა ადვილია მონაცემთა ბაზის ტექნიკური დამხმარე ფორუმების ძიებით.
ნაბიჯი 2. სცადეთ საერთო პაროლები
თუ ადმინისტრატორმა უზრუნველყო ანგარიში პაროლით (სავარაუდო სიტუაცია), სცადეთ მომხმარებლის სახელის/პაროლის საერთო კომბინაციები. ზოგიერთი ჰაკერი საჯაროდ აქვეყნებს პაროლების სიებს, რომლებიც მათ გატეხეს აუდიტის ინსტრუმენტების გამოყენებისას. სცადეთ სხვადასხვა მომხმარებლის სახელისა და პაროლის კომბინაციები.
- ავტორიტეტული საიტი პაროლების სიებით არის
- პაროლების ხელით ცდა შეიძლება შრომატევადი იყოს, მაგრამ არ არსებობს ზიანი იმაში, რომ მან დიდი დარტყმა მიაყენოს იარაღს.
ნაბიჯი 3. გამოიყენეთ პაროლის შემოწმების ინსტრუმენტი
თქვენ შეგიძლიათ გამოიყენოთ სხვადასხვა სახის ინსტრუმენტები ათასობით ლექსიკონის სიტყვისა და ასოების/რიცხვების/სიმბოლოების კომბინაციისათვის უხეში ძალით, სანამ პაროლი არ გაიბზარება.
-
ინსტრუმენტები, როგორიცაა DBPwAudit (Oracle, MySQL, MS-SQL და DB2) და Access Passview (MS Access– ისთვის) არის პაროლის აუდიტის პოპულარული ინსტრუმენტები, რომელთა გამოყენება შესაძლებელია მონაცემთა ბაზების უმეტესობის წინააღმდეგ. თქვენ ასევე შეგიძლიათ მოძებნოთ Google ახალი პაროლების აუდიტის ინსტრუმენტები სპეციალურად თქვენი მონაცემთა ბაზისთვის. მაგალითად, ძიება
პაროლის შემოწმების ინსტრუმენტი oracle db
- თუ თქვენ გატეხავთ Oracle მონაცემთა ბაზას.
- თუ თქვენ გაქვთ ანგარიში სერვერზე, რომელიც მასპინძლობს მონაცემთა ბაზას, შეგიძლიათ გაუშვათ ჰეშ კრეკერი, როგორიც არის ჯონ მომხსნელი, მონაცემთა ბაზის პაროლის ფაილის წინააღმდეგ. ჰეშ ფაილის მდებარეობა განსხვავებულია მონაცემთა ბაზის მიხედვით.
- ჩამოტვირთეთ მხოლოდ იმ საიტებიდან, რომლებსაც ენდობით. ინტენსიურად შეისწავლეთ ინსტრუმენტები მათ გამოყენებამდე.
მეთოდი 3 დან 3: მონაცემთა ბაზის ექსპლუატაციის გაშვება
ნაბიჯი 1. იპოვეთ ექსპლოიტი გასაშვებად
Sectools.org უკვე ათ წელზე მეტია უსაფრთხოების ინსტრუმენტების კატალოგირებას ახდენს (ექსპლუატაციის ჩათვლით). მათი ინსტრუმენტები არის რეპუტაციის მქონე და გამოიყენება სისტემის ადმინისტრატორების მიერ მთელ მსოფლიოში უსაფრთხოების ტესტირებისთვის. დაათვალიერეთ მათი "ექსპლუატაციის" მონაცემთა ბაზა (ან იპოვეთ სხვა სანდო საიტი), რომ იპოვოთ ინსტრუმენტები ან ტექსტური ფაილები, რომლებიც დაგეხმარებათ მონაცემთა ბაზებში უსაფრთხოების ხვრელების გამოყენებაში.
- ექსპლოიტების კიდევ ერთი საიტი არის www.exploit-db.com. გადადით მათ ვებსაიტზე და დააწკაპუნეთ საძიებო ბმულზე, შემდეგ მოძებნეთ მონაცემთა ბაზის ტიპი, რომლის გატეხვაც გსურთ (მაგალითად, "oracle"). ჩაწერეთ Captcha კოდი მითითებულ კვადრატში და მოძებნეთ.
- დარწმუნდით, რომ შეისწავლეთ ყველა ის ექსპლუატაცია, რომლის გამოც თქვენ აპირებთ, რათა იცოდეთ რა უნდა გააკეთოთ პოტენციური პრობლემების შემთხვევაში.
ნაბიჯი 2. იპოვნეთ დაუცველი ქსელი გარიყვის გზით
უორდრივირება არის ავტომობილის ტარება (ან ველოსიპედით სიარული) ტერიტორიის ირგვლივ, ქსელის სკანირების ხელსაწყოს გაშვებისას (მაგალითად, NetStumbler ან Kismet) დაუცველი ქსელის დევნის მიზნით. მეურვეობა ტექნიკურად ლეგალურია. ქსელისგან რაიმე უკანონო საქმის გაკეთება, რასაც აღმოაჩენთ გარდერობის დროს, არ არის.
ნაბიჯი 3. გამოიყენეთ მონაცემთა ბაზის ექსპლუატაცია დაუცველი ქსელიდან
თუ თქვენ აკეთებთ იმას, რასაც არ უნდა აკეთებდეთ, ალბათ არ არის კარგი იდეა ამის გაკეთება საკუთარი ქსელიდან. დაუკავშირდით უსადენოდ ერთ ღია ქსელს, რომელიც იპოვნეთ დაცვის დროს და გაუშვით თქვენს მიერ არჩეული და გამოკვლეული ექსპლუატაცია.
Რჩევები
- ყოველთვის შეინახეთ მგრძნობიარე მონაცემები ბუხრის უკან.
- დარწმუნდით, რომ დაიცავით თქვენი უკაბელო ქსელები პაროლით, ასე რომ მეურვეებმა არ გამოიყენონ თქვენი სახლის ქსელი ექსპლუატაციის გასაშვებად.
- იპოვეთ სხვა ჰაკერები და მოითხოვეთ რჩევები. ხანდახან ჰაკერების საუკეთესო ცოდნა ინახება საჯარო ინტერნეტიდან.
გაფრთხილებები
- მონაცემთა ბაზაზე წვდომა, რომელიც არ არის შენი, უკანონოა.
- გაიგეთ თქვენს ქვეყანაში ჰაკერების კანონები და შედეგები.
- არასოდეს შეეცადოთ მიიღოთ არალეგალური წვდომა მანქანაზე საკუთარი ქსელიდან.
