Kako vstaviti bazo podatkov

Vsebina

• faze
• 1. način Uporabite injekcijo SQL
• 2. način Hack geslo baze podatkov
• 3. način Uporabite vrzeli v bazah podatkov

Najboljši način za zagotovitev, da je vaša baza podatkov zaščitena pred hekerji, je razmišljanje o hekerju. Če bi bili vi, kakšne podatke bi radi našli? Kako bi jih našli? Obstaja veliko vrst baz podatkov in različni načini, kako jih lahko vdrejo, vendar bo večina hekerjev poskusila najti geslo ali zagnati program, ki izkorišča šibko točko baze podatkov. Če se z izjavami SQL počutite udobno in imate rudimentarno znanje o delovanju baz podatkov, ga boste morda lahko vlomili.

faze

1. način Uporabite injekcijo SQL

1. Vprašajte se, ali je baza podatkov ranljiva. Za uporabo te metode boste morali imeti nekaj davčnega znanja. Odprite stran za prijavo v bazo podatkov in vtipkajte (apostrof) v polju za uporabniško ime. Kliknite na Senregistrer. Če vidite napako, ki pravi "Izjema SQL: citirani niz ni pravilno zaključen" ali "neveljaven znak", je baza podatkov ranljiva za vbrizgavanje SQL.

2. 
   

   
   Poiščite število stolpcev. Vrnite se na prijavno stran (ali kateri koli URL, ki se konča v "id =" ali "catid =") in kliknite na naslovno vrstico brskalnika. Po naslovu URL pritisnite preslednico in vtipkajte NAROČITE do 1, nato tapnite vpis. Spremenite 1 v 2 in ponovno pritisnite vpis. Nadaljujte s povečevanjem te številke, dokler ne dobite napake. Število stolpcev je število, ki ste ga vnesli pred tistim, ki je povzročil napako.

3. 
   

   
   
   
   Poiščite stolpce, ki sprejemajo poizvedbe. Na koncu URL-ja v naslovni vrstici spremenite CatID = 1 ali id = 1 in dal CatID = -1 ali id = -1. Pritisnite preslednico in vnesite UNION SELECT 1,2,3,4,5,6 (če je šest stolpcev) Številke, ki jih postavite tja, se morajo ujemati s številom stolpcev in vsak mora biti ločen od vejice od ostalih. Pritisnite vpis in videli boste številke vsakega stolpca, ki bodo sprejeli poizvedbo.

4. 
   

   
   Vstavite stavke SQL. Če na primer želite vedeti trenutnega uporabnika in če želite injekcijo narediti v drugem stolpcu, morate v URL-ju izbrisati vse po "id = 1", preden pritisnete preslednico. Nato vnesite UNION SELECT 1, CONCAT (uporabnik ()), 3,4,5,6--. Pritisnite vpis in na zaslonu boste videli ime trenutnega uporabnika. Uporabite kateri koli stavek SQL za prikaz informacij, na primer seznama uporabniških imen in gesel, ki jih želite vstaviti.

2. način Hack geslo baze podatkov

1. 
   

   
   
   
   Poskusite se povezati s korenino. Nekatere baze podatkov nimajo gesla v privzetem korenu, zato boste morda imeli dostop do njega, če polje gesla pustite prazno. Drugi imajo privzeta gesla, ki jih lahko preprosto najdete z iskanjem na ustreznih forumih.

2. 
   

   
   Poskusite običajna gesla. Če je skrbnik bazo podatkov zavaroval z geslom (kar je običajno), poskusite s kombinacijo uporabniškega imena in gesla. Nekateri hekerji objavljajo spletne sezname gesel, ki so jih pobili z orodji za preverjanje. Preizkusite različne kombinacije uporabniških imen in gesel.
   • Na primer, https://github.com/danielmiessler/SecLists/tree/master/Passwords je prepoznano spletno mesto, kjer boste našli sezname gesel.
   • Verjetno boste izgubili nekaj časa pri poskusu gesla v roki, vendar je vredno poskusiti, preden greste iz težke topništva.

3. 
   

   
   Uporabite orodje za preverjanje gesla. S pomočjo številnih orodij lahko poskusite na tisoče kombinacij besed v slovarju in črkah, številkah ali simbolih, da zberete geslo.
   • Nekatera orodja, kot so DBPwAudit (za Oracle, MySQL, MS-SQL in DB2) in Access Passview (za MS Access), so dobro znana orodja, ki jih lahko uporabljate v večini baz podatkov. V Googlu lahko iščete tudi nova orodja, zasnovana posebej za bazo podatkov, ki vas zanima. Na primer, lahko iščete orodje za revizijo gesla oracle db če kratete bazo podatkov Oracle.
   • Če imate na strežniku račun, ki gosti bazo podatkov, lahko zaženete programsko opremo za vdiranje gesla John Pokornik da bi ga našli. Lokacija hash datoteke je različna, odvisno od baze podatkov.
   • Programsko opremo nalagajte samo s spletnih mest, ki jim zaupate. Preučite ta orodja, preden jih uporabite.

3. način Uporabite vrzeli v bazah podatkov

1. 
   

   
   Poiščite primeren program. Sectools.org je nabor varnostnih orodij (vključno s tistimi, ki vas zdaj zanimajo), ki obstaja že več kot deset let. Svoje skrbnike prepoznajo in uporabljajo skrbniki po vsem svetu za testiranje varnosti. Preverite njihovo operacijsko bazo podatkov (ali poiščite podobno spletno mesto, ki mu zaupate) za orodja ali datoteke, ki vam bodo pomagale najti kršitve varnosti v bazah podatkov.
   • Poskusite lahko tudi z www.exploit-db.com. Pojdite na njihovo spletno mesto in kliknite povezavo Iskanje, nato poiščite vrsto zbirke podatkov, ki jo želite vbiti (npr. Oracle). V ustrezno polje vnesite kodo captcha in izvedite iskanje.
   • Raziskujte programe, ki jih želite uporabiti, da veste, kaj storiti v primeru težave.

2. 
   

   
   Poiščite ranljivo omrežje z wardriving . Potovanje je sestavljeno iz vožnje (ali hoje ali kolesarjenja) na območju, s katerim lahko z orodjem (na primer NetStumbler ali Kismet) skenirate WiFi omrežja, da bi našli brez zaščite. Tehnično gledano je povsem legalno. Kar ni zakonito, je uporaba omrežja, ki ste ga našli v nezakonite namene.

3. 
   

   
   Uporabite to omrežje za svoje kraje. Če želite narediti nekaj, česar v resnici ne bi smeli, bi bilo bolje, če to storite iz omrežja, ki ni vaše. Povežite se z odprtim omrežjem, ki ste ga našli z varovanjem, in uporabljajte naloženo programsko opremo za taksiste.

• Občutljive podatke vedno hranite za požarnim zidom.
• Poskrbite, da boste brezžična omrežja zaščitili z geslom, da svojega ne morete uporabljati za taksist.
• Poiščite druge hekerje in jih vprašajte za nasvete. Včasih najboljših tehnik taksist ne najdemo na spletnih forumih.

• Spoznajte zakon in posledice svojih dejanj v vaši državi.
• Nikoli ne poskušajte dobiti nezakonitega dostopa do naprave iz svojega omrežja.
• Nezakonito je imeti dostop do baze podatkov, ki ni vaša.