Njia bora ya kuhakikisha hifadhidata yako iko salama kutoka kwa wadukuzi ni kufikiria kama hacker. Ikiwa ungekuwa hacker, ungetafuta habari gani? Je! Ungejaribuje kuipata? Kuna aina nyingi za hifadhidata na njia nyingi tofauti za kuzidanganya, lakini wadukuzi wengi watajaribu kupasua nywila ya msingi ya hifadhidata au kuendesha unyonyaji wa hifadhidata. Ikiwa unafurahi na taarifa za SQL na unaelewa misingi ya hifadhidata, unaweza kudunisha hifadhidata.
Hatua
Njia 1 ya 3: Kutumia sindano ya SQL
Hatua ya 1. Tafuta ikiwa hifadhidata iko hatarini
Utahitaji kuwa na msaada na taarifa za hifadhidata kutumia njia hii. Fungua skrini ya kuingia kwenye kiolesura cha wavuti ya hifadhidata katika kivinjari chako cha wavuti na andika a '(nukuu moja) kwenye uwanja wa jina la mtumiaji. Bonyeza "Ingia." Ikiwa utaona kosa linalosema kitu kama "Ubaguzi wa SQL: Kamba iliyonukuliwa haijaachishwa vizuri" au "tabia isiyo sahihi," hifadhidata iko hatarini kwa sindano za SQL.
Hatua ya 2. Pata kiasi cha nguzo
Rudi kwenye ukurasa wa kuingia kwa hifadhidata (au URL nyingine yoyote inayoishia kwa "id =" au "catid =") na ubonyeze kwenye kisanduku cha anwani ya kivinjari. Baada ya URL, piga mwambaa wa nafasi na andika
kuagiza na 1
kisha gonga ↵ Ingiza. Ongeza nambari hadi 2 na bonyeza ↵ Ingiza. Endelea kuongezeka hadi utakapopata hitilafu. Idadi halisi ya nguzo ni nambari uliyoingiza kabla ya nambari iliyokupa kosa.
Hatua ya 3. Tafuta ni nguzo zipi zinazokubali maswali
Mwisho wa URL kwenye upau wa anwani, badilisha
katuni = 1
au
id = 1
kwa
katuni = -1
au
id = -1
. Piga mwambaa wa nafasi na andika
umoja chagua 1, 2, 3, 4, 5, 6
(ikiwa kuna safu 6). Nambari zinapaswa kuhesabu njia yote hadi jumla ya nguzo, na kila moja inapaswa kutengwa na koma. Bonyeza ↵ Ingiza na utaona nambari za kila safu ambazo zitakubali swala.
Hatua ya 4. Ingiza taarifa za SQL kwenye safu
Kwa mfano, ikiwa unataka kujua mtumiaji wa sasa na unataka kuweka sindano kwenye safu ya 2, futa kila kitu baada ya id = 1 kwenye URL na ugonge mwambaa wa nafasi. Kisha, chapa
umoja chagua 1, concat (mtumiaji ()), 3, 4, 5, 6--
. Piga ↵ Ingiza na utaona jina la mtumiaji wa hifadhidata wa sasa kwenye skrini. Tumia taarifa zozote za SQL ungependa kurudisha habari, kama orodha ya majina ya watumiaji na nywila ili kupasuka.
Njia ya 2 ya 3: Kupasuka Nenosiri la Mizizi ya Hifadhidata
Hatua ya 1. Jaribu kuingia kama mzizi na nywila chaguomsingi
Hifadhidata zingine hazina nenosiri la mizizi (admin) kwa chaguo-msingi, kwa hivyo unaweza kuingia ukiacha uwanja wa nywila ukiwa mtupu. Wengine wengine wana nywila chaguomsingi ambazo zinaweza kupatikana kwa urahisi kwa kutafuta vikao vya msaada wa teknolojia ya hifadhidata.
Hatua ya 2. Jaribu nywila za kawaida
Ikiwa msimamizi alipata akaunti na nywila (hali inayowezekana), jaribu mchanganyiko wa jina la mtumiaji / nywila. Baadhi ya wadukuzi huweka hadharani orodha za nywila ambazo wamepasuka wakati wa kutumia zana za ukaguzi. Jaribu jina tofauti la mtumiaji na nenosiri.
- Tovuti yenye sifa nzuri na orodha za nywila zilizokusanywa ni
- Kujaribu nywila kwa mkono inaweza kuchukua muda, lakini hakuna ubaya wowote kuipiga risasi kabla ya kuvunja bunduki kubwa.
Hatua ya 3. Tumia zana ya ukaguzi wa nywila
Unaweza kutumia zana anuwai kujaribu maelfu ya maneno ya kamusi na mchanganyiko wa herufi / nambari / ishara kwa nguvu kali hadi nywila ipasuke.
-
Zana kama DBPwAudit (kwa Oracle, MySQL, MS-SQL na DB2) na Access Passview (ya MS Access) ni zana maarufu za ukaguzi wa nywila ambazo zinaweza kutumika dhidi ya hifadhidata nyingi. Unaweza pia kutafuta Google kwa zana mpya za ukaguzi wa nywila haswa kwa hifadhidata yako. Kwa mfano, tafuta
chombo cha ukaguzi wa nenosiri db
- ikiwa unadukua hifadhidata ya Oracle.
- Ikiwa una akaunti kwenye seva inayoshikilia hifadhidata, unaweza kutumia kiboreshaji cha hashi kama John Ripper dhidi ya faili ya nenosiri la hifadhidata. Mahali ya faili ya hashi ni tofauti kulingana na hifadhidata.
- Pakua tu kutoka kwa tovuti ambazo unaweza kuamini. Zana za utafiti sana kabla ya kuzitumia.
Njia ya 3 ya 3: Matumizi ya Hifadhidata ya Kuendesha
Hatua ya 1. Tafuta unyonyaji wa kukimbia
Sectools.org imekuwa ikiorodhesha zana za usalama (pamoja na unyonyaji) kwa zaidi ya miaka kumi. Zana zao zinajulikana na hutumiwa na wasimamizi wa mfumo kote ulimwenguni kwa upimaji wa usalama. Vinjari hifadhidata yao ya "Unyonyaji" (au pata tovuti nyingine inayoaminika) kupata zana au faili za maandishi zinazokusaidia kutumia mashimo ya usalama kwenye hifadhidata.
- Tovuti nyingine iliyo na ushujaa ni www.exploit-db.com. Nenda kwenye wavuti yao na ubofye kiunga cha Utafutaji, kisha utafute aina ya hifadhidata unayotaka kudukua (kwa mfano, "oracle"). Andika msimbo wa Captcha kwenye mraba uliyopewa na utafute.
- Hakikisha unatafuta matumizi yote unayopanga kujaribu ili ujue nini cha kufanya ikiwa kuna uwezekano wa maswala.
Hatua ya 2. Pata mtandao dhaifu kwa wodi
Uendeshaji wa wodi ni kuendesha gari (au kuendesha baiskeli, au kutembea) kuzunguka eneo wakati unatumia zana ya skanning ya mtandao (kama NetStumbler au Kismet) katika kutafuta mtandao ambao haujalindwa. Wadi ni halali kisheria. Kufanya kitu haramu kutoka kwa mtandao unaopata wakati wodi sio.
Hatua ya 3. Tumia unyonyaji wa hifadhidata kutoka kwa mtandao hatari
Ikiwa unafanya kitu ambacho hutakiwi kufanya, labda sio wazo nzuri kuifanya kutoka kwa mtandao wako mwenyewe. Unganisha bila waya kwa moja ya mitandao ya wazi uliyoipata wakati wa wodi na uendeshe unyonyaji ambao umechunguza na kuchagua.
Vidokezo
- Daima weka data nyeti nyuma ya firewall.
- Hakikisha kulinda mitandao yako isiyo na waya na nywila ili wahudumu wasiweze kutumia mtandao wako wa nyumbani kutekeleza ushujaa.
- Pata wadukuzi wengine na uulize vidokezo. Wakati mwingine maarifa bora ya utapeli huwekwa kwenye Mtandao wa umma.
Maonyo
- Kupata hifadhidata ambayo sio yako ni kinyume cha sheria.
- Kuelewa sheria na athari za utapeli katika nchi yako.
- Kamwe usijaribu kupata ufikiaji haramu wa mashine kutoka kwa mtandao wako mwenyewe.