أفضل طريقة للتأكد من أن قاعدة البيانات الخاصة بك آمنة من المتسللين هي التفكير مثل المتسلل. إذا كنت مخترقًا ، فما نوع المعلومات التي تبحث عنها؟ كيف تحاول الحصول عليها؟ هناك أنواع عديدة من قواعد البيانات والعديد من الطرق المختلفة لاختراقها ، ولكن معظم المتسللين سيحاولون إما كسر كلمة مرور جذر قاعدة البيانات أو تشغيل استغلال قاعدة بيانات معروف. إذا كنت راضيًا عن عبارات SQL وفهمت أساسيات قاعدة البيانات ، يمكنك اختراق قاعدة بيانات.
خطوات
الطريقة 1 من 3: استخدام حقن SQL
الخطوة 1. اكتشف ما إذا كانت قاعدة البيانات معرضة للخطر
ستحتاج إلى أن تكون في متناول اليد مع عبارات قاعدة البيانات لاستخدام هذه الطريقة. افتح شاشة تسجيل الدخول لواجهة الويب الخاصة بقاعدة البيانات في متصفح الويب الخاص بك واكتب "(علامة اقتباس فردية)" في حقل اسم المستخدم. انقر فوق "تسجيل الدخول". إذا رأيت خطأ يشير إلى شيء مثل "استثناء SQL: لم يتم إنهاء السلسلة المقتبسة بشكل صحيح" أو "حرف غير صالح" ، فإن قاعدة البيانات معرضة لإدخالات SQL.
الخطوة 2. أوجد مقدار الأعمدة
ارجع إلى صفحة تسجيل الدخول لقاعدة البيانات (أو أي عنوان URL آخر ينتهي بـ “id =” أو “catid =”) وانقر في مربع عنوان المتصفح. بعد URL ، اضغط على شريط المسافة واكتب
ترتيب بواسطة 1
، ثم اضغط على ↵ Enter. قم بزيادة الرقم إلى 2 واضغط على ↵ Enter. استمر في الزيادة حتى تحصل على خطأ. العدد الفعلي للأعمدة هو الرقم الذي أدخلته قبل الرقم الذي أعطاك الخطأ.
الخطوة الثالثة. ابحث عن الأعمدة التي تقبل الاستعلامات
في نهاية عنوان URL في شريط العناوين ، قم بتغيير ملف
كاتيد = 1
أو
معرف = 1
إلى
كاتيد = -1
أو
معرف = -1
. اضغط على شريط المسافة واكتب
حدد الاتحاد 1 ، 2 ، 3 ، 4 ، 5 ، 6
(إذا كان هناك 6 أعمدة). يجب أن يتم احتساب الأرقام حتى إجمالي عدد الأعمدة ، ويجب فصل كل منها بفاصلة. اضغط على ↵ Enter وستظهر لك أرقام كل عمود يقبل استعلامًا.
الخطوة 4. إدخال جمل SQL في العمود
على سبيل المثال ، إذا كنت تريد معرفة المستخدم الحالي وتريد وضع الحقن في العمود 2 ، فاحذف كل شيء بعد المعرف = 1 في عنوان URL واضغط على شريط المسافة. ثم اكتب
تحديد الاتحاد 1 ، concat (مستخدم ()) ، 3 ، 4 ، 5 ، 6--
. اضغط على ↵ Enter وسترى اسم مستخدم قاعدة البيانات الحالي على الشاشة. استخدم أي جمل SQL ترغب في عرض المعلومات ، مثل قوائم أسماء المستخدمين وكلمات المرور لاختراقها.
الطريقة 2 من 3: كسر كلمة مرور جذر قاعدة البيانات
الخطوة 1. حاول تسجيل الدخول باسم الجذر باستخدام كلمة المرور الافتراضية
لا تحتوي بعض قواعد البيانات على كلمة مرور جذر (مسؤول) بشكل افتراضي ، لذلك قد تتمكن من ترك حقل كلمة المرور فارغًا. لدى البعض الآخر كلمات مرور افتراضية يمكن العثور عليها بسهولة من خلال البحث في منتديات الدعم الفني لقاعدة البيانات.
الخطوة 2. جرب كلمات المرور الشائعة
إذا قام المسؤول بتأمين الحساب بكلمة مرور (موقف محتمل) ، فجرّب تركيبات اسم المستخدم / كلمة المرور الشائعة. ينشر بعض المتسللين بشكل عام قوائم بكلمات المرور التي اخترقوها أثناء استخدام أدوات التدقيق. جرب بعض تركيبات اسم المستخدم وكلمة المرور المختلفة.
- الموقع ذو السمعة الطيبة مع قوائم كلمات المرور المجمعة هو
- يمكن أن تستغرق تجربة كلمات المرور يدويًا وقتًا طويلاً ، ولكن لا ضرر من إعطائها فرصة قبل استخدام الأسلحة الكبيرة.
الخطوة الثالثة. استخدم أداة تدقيق كلمة المرور
يمكنك استخدام مجموعة متنوعة من الأدوات لتجربة الآلاف من كلمات القاموس ومجموعات الأحرف / الأرقام / الرموز بالقوة الغاشمة حتى يتم اختراق كلمة المرور.
-
أدوات مثل DBPwAudit (لـ Oracle و MySQL و MS-SQL و DB2) و Access Passview (لـ MS Access) هي أدوات شائعة لتدقيق كلمات المرور يمكن تشغيلها مع معظم قواعد البيانات. يمكنك أيضًا البحث في Google عن أحدث أدوات تدقيق كلمة المرور لقاعدة البيانات الخاصة بك على وجه التحديد. على سبيل المثال ، البحث عن
أداة تدقيق كلمة المرور أوراكل ديسيبل
- إذا كنت تخترق قاعدة بيانات Oracle.
- إذا كان لديك حساب على الخادم الذي يستضيف قاعدة البيانات ، فيمكنك تشغيل أداة تكسير تجزئة مثل John the Ripper مقابل ملف كلمة مرور قاعدة البيانات. يختلف موقع ملف التجزئة اعتمادًا على قاعدة البيانات.
- قم بالتنزيل فقط من المواقع التي يمكنك الوثوق بها. أدوات البحث على نطاق واسع قبل استخدامها.
الطريقة الثالثة من 3: تشغيل برامج استغلال قاعدة البيانات
الخطوة 1. ابحث عن ثغرة لتشغيلها
تقوم Sectools.org بفهرسة أدوات الأمان (بما في ذلك الثغرات) لأكثر من عشر سنوات. أدواتهم ذات سمعة طيبة ويستخدمها مسؤولو النظام في جميع أنحاء العالم لاختبار الأمان. تصفح قاعدة بيانات "الاستغلال" الخاصة بهم (أو ابحث عن موقع آخر موثوق به) للعثور على أدوات أو ملفات نصية تساعدك على استغلال الثغرات الأمنية في قواعد البيانات.
- موقع آخر به ثغرات هو www.exploit-db.com. انتقل إلى موقع الويب الخاص بهم وانقر على رابط البحث ، ثم ابحث عن نوع قاعدة البيانات التي تريد اختراقها (على سبيل المثال ، "أوراكل"). اكتب رمز Captcha في المربع المقدم وابحث.
- تأكد من البحث عن جميع عمليات الاستغلال التي تخطط لتجربتها حتى تعرف ما يجب القيام به في حالة المشكلات المحتملة.
الخطوة الثانية: ابحث عن شبكة ضعيفة عن طريق القيادة
Wardriving هو القيادة (أو ركوب الدراجات ، أو المشي) حول منطقة أثناء تشغيل أداة مسح الشبكة (مثل NetStumbler أو Kismet) سعياً وراء شبكة غير آمنة. Wardriving قانوني تقنيًا. القيام بشيء غير قانوني من شبكة تجدها أثناء القيادة ليس كذلك.
الخطوة 3. استخدم استغلال قاعدة البيانات من الشبكة المعرضة للخطر
إذا كنت تفعل شيئًا لا يفترض أن تفعله ، فربما لا تكون فكرة جيدة أن تفعله من شبكتك الخاصة. اتصل لاسلكيًا بإحدى الشبكات المفتوحة التي عثرت عليها أثناء القيادة وتشغيل الثغرة التي بحثت عنها واخترتها.
نصائح
- احتفظ دائمًا بالبيانات الحساسة خلف جدار حماية.
- تأكد من حماية شبكاتك اللاسلكية بكلمة مرور حتى لا يتمكن الحراس من استخدام شبكتك المنزلية لتنفيذ عمليات الاستغلال.
- ابحث عن متسللين آخرين واطلب النصائح. في بعض الأحيان يتم إبعاد أفضل معرفة بالقرصنة عن الإنترنت العام.
تحذيرات
- يعد الوصول إلى قاعدة بيانات ليست ملكك أمرًا غير قانوني.
- فهم قوانين وتداعيات القرصنة في بلدك.
- لا تحاول أبدًا الحصول على وصول غير قانوني إلى جهاز من شبكتك الخاصة.
