Veritabanınızın hacker saldırılarına karşı güvende olduğundan emin olmanın en iyi yolu bir hacker gibi düşünmektir. Bir bilgisayar korsanıysanız, ne tür bilgiler arıyorsunuz? Bu bilgiye nasıl ulaşılır? Farklı veritabanları türleri ve onları hacklemenin farklı yolları vardır, ancak çoğu bilgisayar korsanı kök parolayı bulmaya veya bilinen veritabanı açıklarını çalıştırmaya çalışır. SQL ifadelerine aşina iseniz ve veritabanı temellerini anlıyorsanız, veritabanlarını hackleyebilirsiniz.
Adım
Yöntem 1/3: SQL Enjeksiyonunu Kullanma
Adım 1. Veritabanı güvenlik açıklarını bulun
Bu yöntemi kullanabilmek için veritabanı deyimlerini anlamalısınız. Web tarayıcınızdaki veritabanı web oturum açma ekranına gidin ve kullanıcı adı kutusuna ' (tek tırnak) yazın. "Giriş" i tıklayın. “SQL İstisnası: alıntılanan dize düzgün sonlandırılmadı” veya “geçersiz karakter” yazan bir hata mesajı görürseniz, bu, veritabanının SQL'e karşı savunmasız olduğu anlamına gelir.
Adım 2. Sütun sayısını bulun
Veritabanı oturum açma sayfasına (veya "id=" veya "catid=" ile biten herhangi bir URL'ye) dönün ve tarayıcı adres kutusuna tıklayın. URL'nin sonunda boşluk çubuğuna basın ve şunu yazın
1 ile sipariş
ardından Enter'a basın. Sayıyı 2'ye yükseltin ve Enter'a basın. Bir hata mesajı alana kadar numara eklemeye devam edin. Sütun numarası aslında hata mesajını oluşturan sayıdan önce girilen sayıdır.
Adım 3. İsteği (sorgu) kabul eden sütunu bulun
Tarayıcı adres kutusundaki URL'nin sonunda,
katid=1
veya
id=1
olur
katid=-1
veya
id=-1
. Boşluk çubuğuna basın ve yazın
sendika seçimi 1, 2, 3, 4, 5, 6
(6 sütun varsa). Sayılar, toplam sütun sayısına kadar sıralanmalı ve her sayı virgülle ayrılmalıdır. Enter tuşuna basın, uygulamayı kabul eden her sütun için sayıları göreceksiniz.
Adım 4. SQL ifadesini sütuna ekleyin
Örneğin, mevcut kullanıcının kim olduğunu bilmek ve enjeksiyonu 2. sütuna koymak istiyorsanız, id=1'den sonra URL'deki tüm metni kaldırın ve boşluk çubuğuna basın. Bundan sonra tik
birleşim seçimi 1, concat(user()), 3, 4, 5, 6--
. Enter tuşuna basın ve ekranda mevcut veritabanı kullanıcı adını göreceksiniz. Hacklenecek kullanıcı adları ve şifreler listesi gibi bilgileri döndürmek için istediğiniz SQL ifadesini kullanın.
Yöntem 2/3: Veritabanı Kök Parolasını Hackleme
Adım 1. İlk (varsayılan) parola ile root olarak oturum açmayı deneyin
Bazı veritabanlarında ilk kök (yönetici) parolası yoktur, bu nedenle parola kutusunu temizleyebilirsiniz. Bazı veritabanlarının, veri tabanının teknik yardım servisi forumunda arama yaparak kolayca elde edilebilecek başlangıç şifreleri vardır.
Adım 2. Yaygın olarak kullanılan bir şifreyi deneyin
Yönetici hesabı bir şifre ile kilitlerse (büyük olasılıkla), normal kullanıcı adı/şifre kombinasyonunu deneyin. Bazı bilgisayar korsanları, denetim araçlarını kullanarak hackledikleri genel araçlara parola listeleri gönderir. Farklı kullanıcı adı ve şifre kombinasyonları deneyin.
- İlişkili parolaların listesini içeren güvenilir bir site
- Bir seferde bir parola denemek biraz zaman alabilir, ancak daha sert yöntemlere başvurmadan önce denemeye değer.
Adım 3. Denetim araçlarını kullanın
Parola kırılıncaya kadar sözlükte binlerce kelime kombinasyonu ve kaba kuvvet harf/sayı/sembol denemek için çeşitli cihazlar kullanabilirsiniz.
-
DBPwAudit (Oracle, MySQL, MS-SQL ve DB2 için) ve Access Passview (MS Access için) gibi araçlar, popüler parola denetim araçlarıdır ve çoğu veritabanı için kullanılabilir. Ayrıca Google üzerinden veritabanınıza özel en yeni şifre denetleme araçlarını da arayabilirsiniz. Örneğin, aramayı deneyin
parola denetleme aracı oracle db
- Oracle veritabanını kesmek istiyorsanız.
- Veritabanını barındıran sunucuda bir hesabınız varsa, veritabanı parola dosyasında John the Ripper gibi bir karma kırıcı programı çalıştırabilirsiniz. Karma dosyasının konumu, ilişkili veritabanına bağlıdır.
- Programları yalnızca güvenilir sitelerden indirin. Kullanmadan önce cihazı dikkatlice araştırın.
Yöntem 3/3: Veritabanı İstismarını Çalıştırma
Adım 1. Çalıştırılacak bir istismar bulun
Secttools.org, 10 yılı aşkın bir süredir güvenlik araçlarını (istismarlar dahil) belgeliyor. Bu araçlar genellikle güvenilirdir ve dünya çapındaki sistem yöneticileri tarafından güvenlik sistemi testi için yaygın olarak kullanılır. Veritabanı güvenlik sistemindeki zayıf noktalardan yararlanmanıza yardımcı olacak araçlar veya diğer metin dosyaları için bu sitedeki veya diğer güvenilir sitelerdeki “İstismar” veritabanına bakın.
- İstismarları belgeleyen başka bir site de www.exploit-db.com'dur. Siteyi ziyaret edin ve Ara bağlantısını tıklayın, ardından hacklemek istediğiniz veritabanı türünü arayın (örneğin, "oracle"). Verilen kutuya Captcha kodunu yazın ve bir arama yapın.
- Meydana gelebilecek sorunları nasıl çözeceğinizi öğrenmek için denemek istediğiniz herhangi bir istismarı araştırdığınızdan emin olun.
Adım 2. Wardriving kullanarak savunmasız ağları bulun
Wardriving, zayıf güvenlikli ağları aramak için bir ağ tarama aracını (NetStumbler veya Kismet gibi) çalıştırırken bir alanda araba kullanmaktır (veya bisiklete binmek veya yürümek). Bu yöntem teknik olarak yasa dışıdır.
Adım 3. Zayıf güvenlik ağlarından gelen veritabanı istismarlarını kullanın
Yapmamanız gereken bir şey yapıyorsanız, bunu özel ağınızdan yapmamak en iyisidir. Ward sürerken bulunan açık kablosuz ağı kullanın ve araştırılan ve seçilen istismarları çalıştırın.
İpuçları
- Hassas verileri her zaman bir güvenlik duvarının arkasında tutun.
- Savaş sürücülerinin istismarı çalıştırmak için ev ağınızı kullanamaması için kablosuz ağı bir parola ile koruduğunuzdan emin olun.
- Diğer bilgisayar korsanlarından ipuçları isteyin. Bazen en iyi bilgisayar korsanlığı bilimi internette yayılmaz.
Uyarı
- Ülkenizdeki bilgisayar korsanlığının yasalarını ve sonuçlarını anlayın.
- Asla kendi ağınızdan makinelere yasa dışı erişim sağlamaya çalışmayın.
- Size ait olmayan bir veritabanına erişim sağlamak yasa dışıdır.
