작가:
Lewis Jackson
창조 날짜:
9 할 수있다 2021
업데이트 날짜:
1 칠월 2024
콘텐츠
데이터베이스가 해커로부터 안전한지 확인하는 가장 좋은 방법은 해커처럼 생각하는 것입니다. 해커라면 어떤 정보를 찾겠습니까? 그 정보를 얻기 위해 무엇을 하시겠습니까? 다양한 유형의 데이터베이스를 해킹하는 다양한 방법이 있지만 대부분의 해커는 높은 수준의 암호를 크래킹하거나 데이터베이스 공격을 시도합니다. SQL 명령에 익숙하고 기본 프로그래밍 언어를 이해한다면 데이터베이스 해킹을 시도 할 수 있습니다.
단계
방법 1/3 : SQL 주입
데이터베이스의 약점을 식별합니다. 이 방법을 적용하기 전에 데이터베이스 명령을 잘 처리 할 수 있어야합니다. 먼저 브라우저에서 데이터베이스 웹 인터페이스 로그인 화면을 열고 ’ (아포스트로피)를 사용자 이름 필드에 입력합니다. “로그인”을 클릭합니다. "SQL 예외 : 인용 된 문자열이 제대로 종료되지 않았습니다."또는 "잘못된 문자"라는 오류가 나타나면 데이터베이스가 해킹되기 쉽습니다. SQL 주입 기술.
열 수를 찾으십시오. 데이터베이스 로그인 페이지 (또는 "id ="또는 "catid ="로 끝나는 다른 URL)로 돌아가서 브라우저 주소 표시 줄을 클릭합니다. URL 뒤에 공백을 누르고1 씩 주문한 다음 ↵ 입력. 2로 증가하고 누릅니다 ↵ 입력. 오류가 발생할 때까지 계속 늘리십시오. 실제 열 번호는 시스템이 오류를보고하는 번호 앞에 입력 된 번호입니다.
변수를 허용 할 열을 찾으십시오. 주소 표시 줄의 URL 끝에서 변경catid = 1 개id = 1은catid = -1 또는id = -1.공백을 누르고 입력유니온 선택 1,2,3,4,5,6 (6 개의 열이있는 경우). 총 열 수까지 오름차순으로 쉼표로 구분하여 숫자를 입력해야합니다. 프레스 ↵ 입력, 각 열의 수는 변수를 허용합니다.
SQL 문을 열에 삽입합니다. 예를 들어 현재 사용자를 알고 2 열에 콘텐츠를 삽입하려면 URL에서 id = 1 부분 뒤에있는 모든 항목을 삭제하고 스페이스를 누릅니다. 그런 다음 입력union select 1, concat (user ()), 3,4,5,6- 및 ↵ 입력, 현재 데이터베이스 사용자 이름이 화면에 표시됩니다. 크래킹 할 사용자 이름 및 암호 목록과 같은 필요한 정보를 얻으려면 SQL 명령을 선택하십시오. 광고
방법 2/3 : 데이터베이스의 고급 암호 크래킹
기본 암호를 사용하여 고급 사용자로 로그인하십시오. 일부 데이터베이스에는 기본적으로 마스터 비밀번호 (admin-admin)가 없으므로 비밀번호 필드를 비워 둘 수 있습니다. 다른 사람들은 데이터베이스에 대한 기술 지원 포럼에서 쉽게 찾을 수있는 기본 암호를 가지고 있습니다.
인기있는 암호를 사용해보십시오. 관리자가 계정을 암호로 보호 한 경우 (매우 일반적), 일반적인 사용자 이름 / 암호 조합 구문을 사용해 볼 수 있습니다. 일부 해커는 감사 도구를 사용할 때 크래킹하는 암호 목록을 게시합니다. 사용자 이름과 비밀번호 조합을 시도해보세요.
- https://github.com/danielmiessler/SecLists/tree/master/Passwords 페이지는 해커가 수집하는 암호 목록으로 유명합니다.
- 암호를 수동으로 추측하는 데 시간이 걸릴 수 있지만 비용이 들지 않으므로 더 복잡한 방법을 적용하기 전에 시도해 볼 수 있습니다.
암호 확인 도구를 사용하십시오. 다양한 도구를 사용하여 암호가 해독 될 때까지 무차별 대입 공격으로 수천 개의 어휘 및 문자 / 영숫자 조합을 시도 할 수 있습니다.
- DBPwAudit (Oracle, MySQL, MS-SQL 및 DB2 용) 및 Access Passview (MS Access 용)는 대부분의 데이터베이스에서 작동 할 수있는 널리 사용되는 암호 검사 도구입니다. Google에서 특정 데이터베이스에 특정한 최신 비밀번호 확인 도구를 검색 할 수도 있습니다. 예를 들어, Oracle 데이터베이스를 해킹하는 경우 키워드를 찾으십시오.
암호 감사 도구 oracle db. - 데이터베이스를 호스팅하는 서버에 계정이있는 경우 John the Ripper와 같은 해시 도구를 실행하여 데이터베이스 암호 파일을 해독 할 수 있습니다. 해시 파일의 위치는 데이터베이스마다 다릅니다.
- 신뢰할 수있는 사이트에서만 도구를 다운로드하십시오. 사용하기 전에 선택한 도구에 대한 온라인 조사를 수행하십시오.
- DBPwAudit (Oracle, MySQL, MS-SQL 및 DB2 용) 및 Access Passview (MS Access 용)는 대부분의 데이터베이스에서 작동 할 수있는 널리 사용되는 암호 검사 도구입니다. Google에서 특정 데이터베이스에 특정한 최신 비밀번호 확인 도구를 검색 할 수도 있습니다. 예를 들어, Oracle 데이터베이스를 해킹하는 경우 키워드를 찾으십시오.
방법 3/3 : 데이터베이스 공격.
실행할 익스플로잇을 찾으십시오. Sectools.org는 10 년 이상 운영되어 온 보안 도구 (악용 포함)의 일반 디렉토리입니다. 그들의 도구는 매우 평판이 좋으며 전 세계의 많은 시스템 관리자가 네트워크 보안을 확인하는 데 사용합니다. "Exploitation"디렉터리 (또는 기타 신뢰할 수있는 사이트)에서 데이터베이스의 보안 취약성을 공격하는 데 도움이 될 수있는 도구 또는 텍스트 파일을 찾습니다.
- 또 다른 익스플로잇 페이지는 www.exploit-db.com입니다. 위의 웹 사이트로 이동하여 검색 링크를 클릭하여 해킹하려는 데이터베이스 유형 (예 : "oracle")을 검색하십시오. 제공된 상자에 보안 문자 코드를 입력하고 검색하십시오.
- 문제가 발생할 경우 모든 익스플로잇이 관리 할 수 있도록주의 깊게 연구해야합니다.
액세스 할 수있는 취약한 네트워크를 찾습니다 (wardriving). Wardriving은 지역 주변에서 자동차를 운전하고 (자전거를 타거나 걷기도 함) 보안되지 않은 네트워크를 찾기 위해 네트워크 스캐너 (예 : NetStumbler / Kismet)를 사용하는 행위입니다. 기본적으로이 행동은 법을 위반하지 않습니다. 그러나 스스로 인터넷에 접속하여 불법적 인 일을하는 것은 가능합니다.
익스플로잇을 사용하여 방금 액세스 한 네트워크에서 데이터베이스를 공격하십시오. 해서는 안되는 일을 할 계획이라면 홈 네트워크를 사용하는 것은 좋은 생각이 아닙니다. 보안되지 않은 Wi-Fi를 찾아 액세스 한 다음 조사하고 선택한 익스플로잇으로 데이터베이스를 공격하십시오. 광고
조언
- 민감한 데이터는 방화벽으로 보호해야합니다.
- 무단 액세스가 홈 네트워크를 사용하여 데이터베이스를 공격 할 수 없도록 Wi-Fi를 암호로 암호화합니다.
- 해커를 찾아 조언을 구할 수 있습니다. 때로는 가장 좋은 것이 인터넷에 없습니다.
경고
- 베트남에서 데이터베이스 해킹의 법과 결과를 이해해야합니다.
- 개인 네트워크에서 컴퓨터에 액세스하지 마십시오.
- 다른 사람의 데이터베이스에 액세스하는 것은 불법입니다.
