Հեղինակ:
Lewis Jackson
Ստեղծման Ամսաթիվը:
9 Մայիս 2021
Թարմացման Ամսաթիվը:
1 Հուլիս 2024
![Անձնական տվյալների պաշտպանությունը Հայաստանում բարձիթողի վիճակում է](https://i.ytimg.com/vi/1axTmcEXYUc/hqdefault.jpg)
Բովանդակություն
Տվյալների շտեմարանը հակերներից ապահով լինելու համար լավագույն միջոցը հակերների նման մտածելն է: Եթե դուք հակեր լինեիք, ինչպիսի՞ տեղեկատվություն կփնտրեիք: Ի՞նչ եք անելու այդ տեղեկատվությունը ստանալու համար: Տարբեր տվյալների շտեմարանները կոտրելու համար կան բազմազան մեթոդներ, բայց հակերների մեծ մասը կփորձի կոտրել բարձր մակարդակի գաղտնաբառերը կամ գործարկել տվյալների բազայի գրոհները: Եթե ծանոթ եք SQL հրամաններին և հասկանում եք ծրագրավորման հիմնական լեզուները, կարող եք փորձել կոտրել տվյալների բազան:
Քայլեր
3-ի մեթոդը `SQL ներարկումով
Բացահայտեք տվյալների շտեմարանի թույլ կողմերը: Այս մեթոդը կիրառելուց առաջ դուք պետք է կարողանաք լավ վարվել տվյալների բազայի հրամաններով: Նախ, զննարկիչում բացեք տվյալների շտեմարանի վեբ ինտերֆեյսի մուտքի էկրանը և մուտքագրեք ’ (ապոստրոֆ) օգտվողի անվանման դաշտում: Կտտացրեք «Մուտք»: Եթե «SQL Բացառություն. Մեջբերված տողը պատշաճ կերպով չի ավարտվել» կամ «անվավեր նիշ» սխալը հայտնվում է, տվյալների բազան հեշտ է վտանգել: SQL ներարկման տեխնիկա:
Գտեք սյունակների քանակը: Վերադարձեք տվյալների շտեմարանի մուտքի էջ (կամ ցանկացած այլ URL, որն ավարտվում է «id =» կամ «catid =») և սեղմեք զննարկչի հասցեի տողի վրա: URL- ից հետո սեղմեք տարածությունը և մուտքագրեքպատվիրել ըստ 1-ի, ապա սեղմել Մտեք, Բարձրացնել 2-ի և սեղմել Մտեք, Շարունակեք ավելացնել, մինչև որ սխալ ստանաք: Սյունակի իրական համարը այն համարն է, որը մուտքագրվել է այն համարից առաջ, որը համակարգը հաղորդում է սխալի մասին:
Գտեք փոփոխականն ընդունելու սյունը: Հասցեի տողի URL- ի վերջում փոխեք այնկատիդ = 1 լավ
id = 1 դառնում է
catid = -1 կամ
id = -1:Սեղմեք տարածությունը և մուտքագրեք
միավորումը ընտրում է 1,2,3,4,5,6 (եթե կա 6 սյունակ): Դուք պետք է թվեր մուտքագրեք աճման կարգով `մինչև սյունակների ընդհանուր քանակը և բաժանված ստորակետերով: Մամուլ Մտեք, յուրաքանչյուր սյունակի համարը կընդունի փոփոխականը:
Ներդրեք SQL հայտարարությունը սյունակում: Օրինակ, եթե ցանկանում եք իմանալ ներկայիս օգտագործողին և բովանդակությունը ներարկել 2-րդ սյունակում, URL- ում id = 1 մասից հետո բոլորը ջնջեք և սեղմեք տարածությունը: Հետո ներս մտիրմիավորումը ընտրել 1, concat (օգտագործող ()), 3,4,5,6- և սեղմել Մտեք, էկրանին կցուցադրվի տվյալների բազան ներկայիս օգտագործողի անունը: Ընտրեք SQL հրամանը `ձեզ համար անհրաժեշտ տեղեկատվություն ստանալու համար, օրինակ` կոտրելու համար օգտագործողների անունների և գաղտնաբառերի ցուցակ: գովազդ
3-ի մեթոդ 2. Տվյալների բազայի բարձր մակարդակի գաղտնաբառի կոտրում
Փորձեք մուտք գործել որպես առաջադեմ օգտվող ՝ կանխադրված գաղտնաբառով: Որոշ տվյալների շտեմարաններ լռելյայն չունեն հիմնական գաղտնաբառ (ադմին - ադմինիստրատոր), այնպես որ կարող եք դատարկ թողնել գաղտնաբառի դաշտը: Մյուսներն ունեն կանխադրված գաղտնաբառեր, որոնք հեշտությամբ հայտնաբերվում են տվյալների բազայի վերաբերյալ տեխնիկական աջակցության ֆորումներում:
Փորձեք սիրված գաղտնաբառերը: Եթե ադմինիստրատորը գաղտնաբառով պաշտպանված է հաշիվ (շատ տարածված), կարող եք փորձել օգտագործողի / գաղտնաբառի համակցված արտահայտություններ: Որոշ հաքերներ հրապարակում են գաղտնաբառերի ցուցակը, որոնք կոտրում են աուդիտի գործիքներ օգտագործելիս: Փորձեք օգտանունների և գաղտնաբառերի մի քանի համակցություններ:- Https://github.com/danielmiessler/SecLists/tree/master/Passwords էջը հայտնի է հակերների հավաքած գաղտնաբառերի իր ցուցակով:
- Գաղտնաբառը ձեռքով գուշակելը կարող է ժամանակ պահանջել, բայց կարող եք փորձել այն ավելի բարդ եղանակներ կիրառելուց առաջ, քանի որ դա ոչ մի ծախս չի պահանջում:
Օգտագործեք գաղտնաբառի ստուգման գործիք: Դուք կարող եք օգտագործել մի շարք գործիքներ ՝ կոպիտ ուժի հարձակմամբ հազարավոր բառապաշար և տառեր / այբբենական համակցություններ փորձելու համար, մինչ գաղտնաբառի կոտրումը:- DBPwAudit- ը (Oracle- ի, MySQL- ի, MS-SQL- ի և DB2- ի համար) և Access Passview- ը (MS Access- ի համար) գաղտնաբառերի ստուգման հանրաճանաչ գործիքներ են, որոնք կարող են աշխատել տվյալների բազայում: Google- ում կարող եք նաև որոնել գաղտնաբառերի ստուգման ավելի նոր գործիքներ, որոնք հատուկ են հատուկ տվյալների բազաներին: Օրինակ, եթե դուք կոտրում եք Oracle տվյալների բազան, ապա փնտրեք հիմնաբառ
գաղտնաբառի աուդիտի գործիք oracle db.
- Եթե տվյալների շտեմարանը հյուրընկալող սերվերի վրա հաշիվ ունեք, կարող եք գործարկել հեշ գործիք, ինչպիսին է John the Ripper- ը տվյալների բազայի գաղտնաբառի ֆայլը վերծանելու համար: Հեշ ֆայլի գտնվելու վայրը տատանվում է տվյալների բազայից:
- Ներբեռնեք միայն գործիքներ այն կայքերից, որոնց վստահում եք: Օգտագործելուց առաջ կատարեք առցանց հետազոտություն ձեր նախընտրած գործիքի վերաբերյալ:
- DBPwAudit- ը (Oracle- ի, MySQL- ի, MS-SQL- ի և DB2- ի համար) և Access Passview- ը (MS Access- ի համար) գաղտնաբառերի ստուգման հանրաճանաչ գործիքներ են, որոնք կարող են աշխատել տվյալների բազայում: Google- ում կարող եք նաև որոնել գաղտնաբառերի ստուգման ավելի նոր գործիքներ, որոնք հատուկ են հատուկ տվյալների բազաներին: Օրինակ, եթե դուք կոտրում եք Oracle տվյալների բազան, ապա փնտրեք հիմնաբառ
3-ի մեթոդը 3. Շտեմարանի հարձակումը:
Գտեք գործադրելու համար շահագործումը: Sectools.org- ը անվտանգության գործիքների ընդհանուր գրացուցակ է (ներառյալ ՝ շահագործումը), որը գործում է ավելի քան տաս տարի: Նրանց գործիքը բավականին հեղինակավոր է և ամբողջ աշխարհի ադմինիստրատորների կողմից օգտագործվում է ցանցի անվտանգությունը ստուգելու համար: Bննեք նրանց «Շահագործում» գրացուցակը (կամ այլ վստահելի կայք) գործիքի կամ տեքստային ֆայլի համար, որը կարող է օգնել հարձակվել տվյալների բազայի անվտանգության խոցելիության վրա:- Մեկ այլ շահագործման էջ է www.exploit-db.com: Անցեք վերը նշված կայքէջը և կտտացրեք Որոնման հղմանը ՝ տվյալների շտեմարանի տեսակը որոնելու համար, որը ցանկանում եք կոտրել (օրինակ ՝ «բանավորություն»): Մուտքագրեք Captcha կոդը տրամադրված վանդակում և որոնեք:
- Դուք պետք է ուշադիր ուսումնասիրեք, որ բոլոր շահագործումները կփորձեն կառավարել, եթե խնդիր առաջանա:
Գտեք խոցելի ցանցեր ՝ մուտքի իրավունք ստանալու համար: Wardriving- ը մեքենա վարելու գործողություն է (նույնիսկ հեծանիվ վարել կամ քայլել) տարածքում և օգտագործել ցանցային սկաներ (ինչպիսին է NetStumbler / Kismet) անապահով ցանցեր գտնելու նպատակով: Ըստ էության, այս պահվածքը չի խախտում օրենքը: Բայց հնարավոր է ինքներդ մուտք գործեք ինտերնետ և անօրինական գործողություններ կատարեք:
Օգտագործեք օգտագործումը ՝ հենց նոր մուտք գործած ցանցից տվյալների բազան հարձակվելու համար: Եթե նախատեսում եք անել մի բան, ինչը չպետք է լիներ, ապա ձեր տան ցանցից օգտվելը լավ գաղափար չէ: Գտեք և մուտք գործեք չապահովված Wi-Fi, այնուհետև հարձակվեք տվյալների բազայի վրա ՝ ձեր ուսումնասիրած և ընտրած շահագործման միջոցով: գովազդ
Խորհուրդներ
- Sգայուն տվյալները պետք է պաշտպանված լինեն firewall- ի հետեւում:
- Գաղտնագրեք Wi-Fi- ը գաղտնաբառով, որպեսզի չարտոնված մուտքերը չկարողանան օգտագործել ձեր տան ցանցը ՝ ձեր տվյալների բազայի վրա հարձակվելու համար:
- Կարող եք գտնել հաքեր և խորհուրդ հարցնել: Երբեմն ամենալավ բաները ինտերնետում չեն լինում:
Arnգուշացում
- Դուք պետք է հասկանաք Վիետնամում տվյալների շտեմարանի կոտրման օրենքներն ու հետևանքները:
- Երբեք ձեր համակարգչից մուտք գործեք ոչ մի համակարգիչ:
- Այլ անձի տվյալների շտեմարան մուտք գործելը անօրինական է: