كيفية اختراق قاعدة البيانات

المحتوى

• مراحل
• الطريقة الأولى استخدم حقن SQL
• الطريقة الثانية اختراق كلمة مرور قاعدة البيانات
• الطريقة الثالثة استخدام الثغرات في قواعد البيانات

أفضل طريقة للتأكد من حماية قاعدة البيانات الخاصة بك من المتسللين هي التفكير كأنه متسلل. إذا كنت واحدًا ، فما نوع المعلومات التي ترغب في العثور عليها؟ كيف تجدهم؟ هناك العديد من أنواع قواعد البيانات وطرق مختلفة لاختراقها ، لكن معظم المتسللين سيحاولون العثور على كلمة المرور أو إطلاق برنامج يستغل نقطة ضعف في قاعدة البيانات. إذا كنت تشعر بالراحة تجاه عبارات SQL ولديك معرفة أولية بكيفية عمل قواعد البيانات ، فقد تتمكن من اختراقها.

مراحل

الطريقة الأولى استخدم حقن SQL

1. اسأل نفسك إذا كانت قاعدة البيانات ضعيفة. سوف تحتاج إلى بعض المعرفة الضريبية لاستخدام هذه الطريقة. افتح صفحة تسجيل الدخول إلى قاعدة البيانات في متصفحك واكتب (علامة اقتباس أحادية) في الحقل لاسم المستخدم. اضغط على Senregistrer. إذا رأيت خطأً يقول "استثناء SQL: السلسلة المقتبسة غير منتهية بشكل صحيح" أو "حرف غير صالح" ، تكون قاعدة البيانات عرضة لحقن SQL.

2. 
   

   
   العثور على عدد الأعمدة. ارجع إلى صفحة تسجيل الدخول (أو أي عنوان URL ينتهي بـ "id =" أو "catid =") وانقر على شريط عنوان المتصفح. بعد عنوان URL ، اضغط على مفتاح المسافة واكتب ترتيب حسب 1، ثم اضغط دخول. تغيير 1 إلى 2 واضغط مرة أخرى دخول. استمر في زيادة هذا الرقم حتى تحصل على خطأ. عدد الأعمدة هو الرقم الذي أدخلته قبل العمود الذي تسبب في حدوث الخطأ.

3. 
   

   
   
   
   ابحث عن الأعمدة التي تقبل الاستعلامات. في نهاية عنوان URL في شريط العناوين ، قم بتغيير CATID = 1 أو معرف = 1 و ضع CATID = -1 أو معرف = -1. اضغط على شريط المسافة واكتب اختيار الاتحاد 1،2،3،4،5،6 (إذا كان هناك ستة أعمدة) يجب أن تتطابق الأرقام التي تضعها مع عدد الأعمدة ويجب فصل كل منها عن الأخرى بفاصلة. إضغط على دخول وسترى أرقام كل عمود يقبل الاستعلام.

4. 
   

   
   حقن عبارات SQL. على سبيل المثال ، إذا كنت تريد معرفة المستخدم الحالي وإذا كنت تريد إجراء الحقن في العمود الثاني ، فيجب عليك مسح كل شيء بعد "id = 1" في عنوان URL قبل الضغط على مفتاح المسافة. ثم اكتب UNION SELECT 1، CONCAT (user ())، 3،4،5،6--. إضغط على دخول وسترى اسم المستخدم الحالي على الشاشة. استخدم أي عبارة SQL لعرض المعلومات ، مثل قائمة أسماء المستخدمين وكلمات المرور لاختراقها.

الطريقة الثانية اختراق كلمة مرور قاعدة البيانات

1. 
   

   
   
   
   حاول الاتصال بالجذر. لا تحتوي بعض قواعد البيانات على كلمة مرور في الجذر الافتراضي ، لذلك قد يكون لديك حق الوصول إليها من خلال ترك حقل كلمة المرور فارغًا. لدى الآخرين كلمات مرور افتراضية يمكنك العثور عليها بسهولة من خلال البحث في المنتديات المناسبة.

2. 
   

   
   جرب كلمات المرور الشائعة. إذا قام المسؤول بتأمين قاعدة البيانات بكلمة مرور (وهي الحالة عادة) ، فجرّب مزيجًا من اسم المستخدم وكلمة المرور. يقوم بعض المتسللين بنشر قوائم كلمات المرور عبر الإنترنت التي قاموا بتشققها باستخدام أدوات التحقق. جرّب مجموعات مختلفة من أسماء المستخدمين وكلمات المرور.
   • على سبيل المثال ، يعد https://github.com/danielmiessler/SecLists/tree/master/Passwords موقعًا معروفًا حيث ستجد قوائم بكلمات المرور.
   • من المحتمل أن تضيع بعض الوقت في تجربة كلمات المرور في يدك ، لكن الأمر يستحق المحاولة قبل الخروج من المدفعية الثقيلة.

3. 
   

   
   استخدم أداة التحقق من كلمة المرور. يمكنك استخدام العديد من الأدوات لتجربة الآلاف من مجموعات الكلمات في القاموس والحروف والأرقام والرموز للقضاء على كلمة المرور.
   • بعض الأدوات مثل DBPwAudit (بالنسبة إلى Oracle و MySQL و MS-SQL و DB2) و Access Passview (لـ MS Access) هي أدوات معروفة يمكنك استخدامها في معظم قواعد البيانات. يمكنك أيضًا البحث على Google للعثور على أدوات جديدة مصممة خصيصًا لقاعدة البيانات التي تهتم بها. على سبيل المثال ، يمكنك البحث كلمة السر أداة تدقيق أوراكل ديسيبل إذا كنت اختراق قاعدة بيانات أوراكل.
   • إذا كان لديك حساب على الخادم الذي يستضيف قاعدة البيانات ، يمكنك تشغيل برنامج اختراق كلمة المرور مثل جون الخارق للعثور عليه. يختلف موقع ملف التجزئة وفقًا لقاعدة البيانات.
   • قم بتنزيل البرنامج فقط من المواقع التي تثق بها. بحث هذه الأدوات قبل استخدامها.

الطريقة الثالثة استخدام الثغرات في قواعد البيانات

1. 
   

   
   العثور على برنامج مناسب. Sectools.org هي مجموعة من أدوات الأمان (بما في ذلك تلك التي تهمك الآن) والتي كانت موجودة منذ أكثر من عشر سنوات. يتم التعرف على أدواتهم واستخدامها من قبل المسؤولين في جميع أنحاء العالم لإجراء اختبار الأمان. تحقق من قاعدة بيانات التشغيل الخاصة بهم (أو ابحث عن موقع مشابه تثق به) للتعرف على الأدوات أو الملفات التي ستساعدك في العثور على خروقات الأمان في قواعد البيانات.
   • يمكنك أيضًا تجربة www.exploit-db.com. انتقل إلى موقع الويب الخاص بهم وانقر على الرابط بحث، ثم ابحث عن نوع قاعدة البيانات التي تريد اختراقها (مثل Oracle). اكتب رمز captcha في الحقل المناسب وقم بالبحث.
   • ابحث في البرامج التي تريد استخدامها لمعرفة ما يجب القيام به في حالة وجود مشكلة.

2. 
   

   
   العثور على شبكة الضعيفة مع قرصنة الشبكات اللاسلكية . يتكون الواقي من القيادة (أو المشي أو ركوب الدراجات) في منطقة لمسح شبكات Wifi باستخدام أداة (مثل NetStumbler أو Kismet) للعثور على واحدة دون حماية. من الناحية الفنية ، إنه قانوني تمامًا. ما هو غير قانوني هو استخدام الشبكة التي عثرت عليها لأغراض غير قانونية.

3. 
   

   
   استخدام هذه الشبكة للقرصنة الخاصة بك. إذا كنت تريد أن تفعل شيئًا ليس من المفترض فعله فعلًا ، فسيكون من الأفضل أن تفعل ذلك من شبكة ليست لك. اتصل بشبكة مفتوحة وجدتها من خلال استخدام برامج القرصنة التي قمت بتنزيلها واستخدامها.

• احتفظ دائمًا بالبيانات الحساسة خلف جدار الحماية.
• تأكد من حماية شبكاتك اللاسلكية بكلمة مرور حتى لا تتمكن من استخدام شبكاتك للتسلل.
• البحث عن المتسللين الآخرين واطلب منهم النصائح. في بعض الأحيان ، لا يتم العثور على أفضل تقنيات القرصنة على منتديات الإنترنت.

• فهم القانون وعواقب أفعالك في بلدك.
• لا تحاول مطلقًا الحصول على وصول غير قانوني إلى جهاز من شبكتك الخاصة.
• من غير القانوني الوصول إلى قاعدة بيانات ليست لك.