Πίνακας περιεχομένων:
- Εργαλεία για την ανίχνευση κινδύνων hacking βάσεων δεδομένων
- Το SQLPing3 χρησιμεύει επίσης ως ένα ωραίο πρόγραμμα επεξεργασίας κωδικών πρόσβασης SQL Server που βασίζεται σε λεξικό. Αυτός ελέγχει τυχαία τους κεντρικούς κωδικούς πρόσβασης sa. Ένα άλλο δωρεάν εργαλείο για τη δημιουργία ράγισσης των SQL Server, MySQL και Oracle έχει το Cain & Abel.
- Όπως συμβαίνει και με τα λειτουργικά συστήματα και τις εφαρμογές web, ορισμένα τρωτά σημεία της βάσης δεδομένων μπορούν να εξαλειφθούν μόνο χρησιμοποιώντας τα σωστά εργαλεία. Μπορείτε να χρησιμοποιήσετε το QualysGuard για την εύρεση τέτοιων ζητημάτων όπως
Βίντεο: Ιταλία: Πτώματα ανασύρουν οι δύτες απ' το ναυάγιο στη Λαμπεντούζα 2024
Τα συστήματα βάσεων δεδομένων, όπως ο Microsoft SQL Server, η MySQL και η Oracle, έχουν παραμείνει πίσω από τις σκηνές, αλλά η αξία τους και τα τρωτά τους έχουν φτάσει στο προσκήνιο. Ναι, ακόμη και το ισχυρό Oracle που κάποτε είχε υποστηριχθεί ότι είναι αδιάψευστο είναι ευαίσθητο σε παρόμοια εκμεταλλεύματα όπως ο ανταγωνισμός του. Με το πλήθος των κανονιστικών απαιτήσεων που διέπουν την ασφάλεια των βάσεων δεδομένων, σχεδόν καμία επιχείρηση δεν μπορεί να κρύβεται από τους κινδύνους που βρίσκονται μέσα.
Εργαλεία για την ανίχνευση κινδύνων hacking βάσεων δεδομένων
Όπως συμβαίνει και με τα ασύρματα, τα λειτουργικά συστήματα και ούτω καθεξής, χρειάζεστε καλά εργαλεία εάν πρόκειται να βρείτε τα θέματα ασφαλείας της βάσης δεδομένων που μετράνε. Τα παρακάτω είναι μερικά εργαλεία για την εξέταση της ασφάλειας βάσεων δεδομένων:
-
Σύνθετη ανάκτηση κωδικού πρόσβασης SQL για την ρωγμή κωδικών πρόσβασης του Microsoft SQL Server
-
Cain & Abel -
QualysGuard -
για την εκτέλεση σε βάθος ανίχνευσης ευπάθειας SQLPing3
-
για εντοπισμό διακομιστών Microsoft SQL στο δίκτυο, έλεγχος για τους κεντρικούς κωδικούς πρόσβασης sa, καθώς και επιθέσεις με ρωγμές κωδικών λεξικού Μπορείτε επίσης να χρησιμοποιήσετε εργαλεία εκμετάλλευσης, όπως το Metasploit, για τη δοκιμή βάσης δεδομένων σας.
Βρείτε βάσεις δεδομένων στο δίκτυο
Η χρήση ευαίσθητων δεδομένων σε ανεξέλεγκτους τομείς ανάπτυξης και διασφάλισης ποιότητας (QA) είναι μια παραβίαση δεδομένων που περιμένει να συμβεί.
Το καλύτερο εργαλείο για την ανακάλυψη συστημάτων Microsoft SQL Server είναι το SQLPing3.
Το SQLPing3 μπορεί να ανακαλύψει στιγμιότυπα του SQL Server που είναι κρυμμένα πίσω από προσωπικά τείχη προστασίας και πολλά άλλα - ένα χαρακτηριστικό που ήταν παλαιότερα διαθέσιμο μόνο στην SQLRecon εφαρμογή αδελφών του SQLPing2.
Εάν διαθέτετε το Oracle στο περιβάλλον σας, ο Pete Finnigan διαθέτει μια μεγάλη λίστα με τα εργαλεία ασφαλείας που βασίζονται στο Oracle στο www. petefinnigan. com / εργαλεία. htm που μπορεί να εκτελέσει λειτουργίες παρόμοιες με το SQLPing3.
Κωδικοί πρόσβασης βάσεων δεδομένων Crack
Το SQLPing3 χρησιμεύει επίσης ως ένα ωραίο πρόγραμμα επεξεργασίας κωδικών πρόσβασης SQL Server που βασίζεται σε λεξικό. Αυτός ελέγχει τυχαία τους κεντρικούς κωδικούς πρόσβασης sa. Ένα άλλο δωρεάν εργαλείο για τη δημιουργία ράγισσης των SQL Server, MySQL και Oracle έχει το Cain & Abel.
Το εμπορικό προϊόν Elcomsoft Distributed Password Recovery μπορεί επίσης να σπάσει τα hashes του Oracle κωδικού πρόσβασης.
Εάν έχετε πρόσβαση στον κύριο SQL Server. mdf, μπορείτε να χρησιμοποιήσετε την Advanced SQL Password Recovery της Elcomsoft για να ανακτήσετε τους κωδικούς πρόσβασης της βάσης δεδομένων αμέσως.
Μπορεί να σκοντάψετε σε ορισμένα παλαιότερα αρχεία βάσης δεδομένων της Microsoft Access που προστατεύονται επίσης με κωδικό πρόσβασης. Χωρίς ανησυχίες: Το εργαλείο Advanced Password Recovery για το Office μπορεί να σας φτάσει στο σωστό.
Όπως μπορείτε να φανταστείτε, αυτά τα εργαλεία εξουδετέρωσης κωδικού πρόσβασης είναι ένας πολύ καλός τρόπος για να αποδείξετε τις πιο βασικές αδυναμίες στην ασφάλεια της βάσης δεδομένων σας. Ένας από τους καλύτερους τρόπους για να αποδείξετε ότι υπάρχει ένα πρόβλημα είναι να χρησιμοποιήσετε το Microsoft SQL Server 2008 Management Studio Express για να συνδεθείτε με τα συστήματα βάσεων δεδομένων που διαθέτετε τώρα τους κωδικούς πρόσβασης και να ρυθμίσετε λογαριασμούς backdoor ή περιηγηθείτε γύρω για να δείτε τι είναι διαθέσιμο.
Σε σχεδόν κάθε μη προστατευμένο σύστημα SQL Server, υπάρχουν ευαίσθητα προσωπικά οικονομικά στοιχεία ή στοιχεία υγειονομικής περίθαλψης που διατίθενται για τη λήψη.
Σάρωση βάσεων δεδομένων για ευπάθειες
Όπως συμβαίνει και με τα λειτουργικά συστήματα και τις εφαρμογές web, ορισμένα τρωτά σημεία της βάσης δεδομένων μπορούν να εξαλειφθούν μόνο χρησιμοποιώντας τα σωστά εργαλεία. Μπορείτε να χρησιμοποιήσετε το QualysGuard για την εύρεση τέτοιων ζητημάτων όπως
Υπέρβαση Buffer
-
Προσαρμογές Privilege
-
Κωδικοποιητές πρόσβασης με κωδικό πρόσβασης
-
Αδύνατες μέθοδοι ελέγχου ταυτότητας
-
Αρχεία καταγραφής ακουστικών βάσεων δεδομένων που μπορούν να μετονομαστούν χωρίς έλεγχο ταυτότητας
-
Ένας πολύ καλός ανιχνευτής ευπάθειας εμπορικής βάσης δεδομένων για τη διεξαγωγή εμπεριστατωμένων ελέγχων βάσεων δεδομένων - συμπεριλαμβανομένων των ελέγχων δικαιωμάτων χρήστη σε SQL Server, Oracle κ.ο.κ. - είναι το AppDetectivePro. Το AppDetectivePro μπορεί να είναι μια καλή προσθήκη στο οπλοστάσιο εργαλείων δοκιμών ασφάλειας, αν μπορείτε να δικαιολογήσετε την επένδυση.
Πολλά τρωτά σημεία μπορούν να δοκιμαστούν τόσο από πλευράς προοπτικής μη αυθεντίας όσο και από άποψη εμπιστευτικού εμπιστευτικού χαρακτήρα. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε το λογαριασμό SYSTEM για Oracle για να συνδεθείτε, να απαριθμήσετε και να σαρώσετε το σύστημα (κάτι που υποστηρίζει το QualysGuard).