أفضل طريقة للتأكد من أن قاعدة البيانات الخاصة بك في مأمن من هجمات القراصنة هي التفكير مثل المتسلل. إذا كنت متسللًا ، فما نوع المعلومات التي تبحث عنها؟ كيف تحصل على تلك المعلومات؟ هناك أنواع مختلفة من قواعد البيانات وطرق مختلفة لاختراقها ، لكن معظم المتسللين سيحاولون العثور على كلمة مرور الجذر أو تشغيل عمليات استغلال قاعدة البيانات المعروفة. يمكنك اختراق قواعد البيانات إذا كنت معتادًا على عبارات SQL وتفهم أساسيات قواعد البيانات.
خطوة
الطريقة 1 من 3: استخدام حقن SQL
الخطوة 1. البحث عن نقاط الضعف في قاعدة البيانات
يجب أن تفهم عبارات قاعدة البيانات لتتمكن من استخدام هذه الطريقة. انتقل إلى شاشة تسجيل الدخول إلى الويب الخاصة بقاعدة البيانات في متصفح الويب الخاص بك واكتب "(علامات اقتباس مفردة) في مربع اسم المستخدم. انقر فوق "تسجيل الدخول". إذا رأيت رسالة خطأ مفادها "استثناء SQL: لم يتم إنهاء السلسلة المقتبسة بشكل صحيح" أو "حرف غير صالح" ، فهذا يعني أن قاعدة البيانات عرضة لـ SQL.
الخطوة 2. ابحث عن عدد الأعمدة
ارجع إلى صفحة تسجيل الدخول إلى قاعدة البيانات (أو أي عنوان URL آخر ينتهي بـ “id =” أو “catid =”) وانقر على مربع عنوان المتصفح. في نهاية عنوان URL ، اضغط على مفتاح المسافة واكتب
ترتيب بواسطة 1
، ثم اضغط على Enter. قم بزيادة الرقم إلى 2 واضغط على Enter. استمر في إضافة الأرقام حتى تحصل على رسالة خطأ. رقم العمود هو الرقم الذي تم إدخاله قبل الرقم الذي أنشأ رسالة الخطأ.
الخطوة 3. ابحث عن العمود الذي يقبل الطلب (الاستعلام)
في نهاية عنوان URL في مربع عنوان المتصفح ، قم بتغيير
كاتيد = 1
أو
معرف = 1
يصبح
كاتيد = -1
أو
معرف = -1
. اضغط على شريط المسافة واكتب
حدد الاتحاد 1 ، 2 ، 3 ، 4 ، 5 ، 6
(إذا كان هناك 6 أعمدة). يجب ترتيب الأرقام حتى إجمالي عدد الأعمدة ، وكل رقم مفصول بفاصلة. اضغط على Enter وسترى الأرقام الخاصة بكل عمود قبل الطلب.
الخطوة 4. أدخل عبارة SQL في العمود
على سبيل المثال ، إذا كنت تريد معرفة المستخدم الحالي ووضع الحقن في العمود 2 ، فقم بإزالة كل النص في عنوان URL بعد المعرف = 1 واضغط على شريط المسافة. بعد ذلك ، tik
تحديد الاتحاد 1 ، concat (مستخدم ()) ، 3 ، 4 ، 5 ، 6--
. اضغط على Enter وسترى اسم مستخدم قاعدة البيانات الحالي على الشاشة. استخدم عبارة SQL المطلوبة لإرجاع المعلومات ، مثل قائمة أسماء المستخدمين وكلمات المرور للاختراق.
الطريقة 2 من 3: قرصنة كلمة مرور جذر قاعدة البيانات
الخطوة الأولى. حاول تسجيل الدخول كجذر باستخدام كلمة المرور الأولية (الافتراضية)
لا تحتوي بعض قواعد البيانات على كلمة مرور أولية لجذر (المسؤول) ، لذا قد تتمكن من مسح مربع كلمة المرور. تحتوي بعض قواعد البيانات على كلمات مرور أولية يمكن الحصول عليها بسهولة من خلال البحث في منتدى خدمة المساعدة الفنية لقاعدة البيانات.
الخطوة الثانية. جرب كلمة مرور شائعة الاستخدام
إذا قام المسؤول بإغلاق الحساب بكلمة مرور (على الأرجح) ، فجرّب تركيبة اسم المستخدم / كلمة المرور المعتادة. ينشر بعض المتسللين قوائم كلمات المرور على الوسائل العامة التي يقومون باختراقها باستخدام أدوات التدقيق. جرب تركيبات مختلفة لاسم المستخدم وكلمة المرور.
- الموقع الموثوق به الذي يحتوي على قائمة بكلمات المرور المرتبطة هو
- قد تستغرق تجربة كلمة مرور واحدة في كل مرة بعض الوقت ، لكن الأمر يستحق المحاولة قبل اللجوء إلى طرق أكثر تشددًا.
الخطوة 3. استخدم أدوات التدقيق
يمكنك استخدام أجهزة مختلفة لتجربة آلاف مجموعات الكلمات في القاموس وحروف / أرقام / رموز القوة الغاشمة حتى يتم كسر كلمة المرور.
-
أدوات مثل DBPwAudit (لـ Oracle و MySQL و MS-SQL و DB2) و Access Passview (لـ MS Access) هي أدوات تدقيق كلمات المرور الشائعة ويمكن استخدامها لمعظم قواعد البيانات. يمكنك أيضًا البحث عن أحدث أدوات تدقيق كلمة المرور الخاصة بقاعدة البيانات الخاصة بك عبر Google. على سبيل المثال ، حاول البحث
أداة تدقيق كلمة المرور أوراكل ديسيبل
- إذا كنت تريد اختراق قاعدة بيانات Oracle.
- إذا كان لديك حساب على الخادم الذي يستضيف قاعدة البيانات ، فيمكنك تشغيل برنامج تكسير تجزئة مثل John the Ripper في ملف كلمة مرور قاعدة البيانات. يعتمد موقع ملف التجزئة على قاعدة البيانات المرتبطة.
- قم بتنزيل البرامج من المواقع الموثوقة فقط. ابحث عن الجهاز بعناية قبل الاستخدام.
الطريقة الثالثة من 3: تشغيل استغلال قاعدة البيانات
الخطوة 1. ابحث عن ثغرة لتشغيلها
تقوم Secttools.org بتوثيق أدوات الأمان (بما في ذلك الثغرات) لأكثر من 10 سنوات. هذه الأدوات موثوقة بشكل عام وتستخدم على نطاق واسع من قبل مسؤولي النظام في جميع أنحاء العالم لاختبار نظام الأمان. انظر إلى قاعدة بيانات "الاستغلال" على هذا الموقع أو المواقع الموثوقة الأخرى للأدوات أو الملفات النصية الأخرى التي تساعدك على استغلال نقاط الضعف في نظام أمان قاعدة البيانات.
- موقع آخر يوثق عمليات الاستغلال هو www.exploit-db.com. قم بزيارة الموقع وانقر على رابط البحث ، ثم ابحث عن نوع قاعدة البيانات التي تريد اختراقها (على سبيل المثال ، "أوراكل"). اكتب رمز Captcha في المربع المحدد وقم بإجراء بحث.
- تأكد من البحث عن أي مآثر تريد محاولة معرفة كيفية التغلب على أي مشاكل قد تحدث.
الخطوة 2. ابحث عن الشبكات الضعيفة باستخدام القيادة
يقود Wardriving (أو ركوب الدراجات ، أو المشي) حول منطقة أثناء تشغيل أداة فحص الشبكة (مثل NetStumbler أو Kismet) للبحث عن الشبكات ذات الأمان الضعيف. هذه الطريقة غير قانونية من الناحية الفنية.
الخطوة الثالثة. استخدم عمليات استغلال قاعدة البيانات من شبكات الأمان الضعيفة
إذا كنت تفعل شيئًا لا يجب عليك فعله ، فمن الأفضل ألا تفعل ذلك من شبكتك الخاصة. استخدم الشبكة اللاسلكية المفتوحة الموجودة أثناء القيادة وقم بتشغيل الثغرات التي تم البحث عنها واختيارها.
نصائح
- احتفظ دائمًا بالبيانات الحساسة خلف جدار حماية.
- تأكد من حماية الشبكة اللاسلكية بكلمة مرور حتى لا يتمكن الحراس من استخدام الشبكة المنزلية الخاصة بك لتشغيل الاستغلال.
- اطلب نصائح من قراصنة آخرين. في بعض الأحيان ، لا يتم نشر أفضل علوم القرصنة على الإنترنت.
تحذير
- فهم قوانين وعواقب القرصنة في بلدك.
- لا تحاول أبدًا الحصول على وصول غير قانوني إلى الأجهزة من شبكتك الخاصة.
- يعد الوصول إلى قاعدة بيانات ليست ملكك أمرًا غير قانوني.
