كيفية اختراق قاعدة البيانات

مؤلف: Gregory Harris
تاريخ الخلق: 11 أبريل 2021
تاريخ التحديث: 1 تموز 2024
Anonim
طريقة اختراق المواقع و سحب قاعدة البيانات بثغرة sql injection
فيديو: طريقة اختراق المواقع و سحب قاعدة البيانات بثغرة sql injection

المحتوى

لحماية قاعدة البيانات الخاصة بك من المتسللين ، عليك أن تفكر مثل المتسلل. إذا كنت مخترقًا ، فما هي المعلومات التي كنت تبحث عنها؟ كيف تحصل عليه؟ هناك العديد من أنواع قواعد البيانات المختلفة والعديد من الطرق لاختراقها. في كثير من الأحيان ، يحاول المتسللون اختراق كلمة مرور الجذر أو استخدام أحد الثغرات. إذا كنت معتادًا على عبارات SQL ومفاهيم قواعد البيانات الأساسية ، فحاول كسر إحداها.

خطوات

طريقة 1 من 3: حقن SQL

  1. 1 اكتشف ما إذا كانت قاعدة البيانات بها نقاط ضعف. لهذه الطريقة ، تحتاج إلى فهم عوامل تشغيل قاعدة البيانات. قم بتشغيل المستعرض الخاص بك وافتح واجهة صفحة تسجيل الدخول إلى قاعدة البيانات. ثم أدخل "(علامة اقتباس واحدة) في حقل اسم المستخدم. انقر فوق تسجيل الدخول. إذا تلقيت الخطأ "استثناء SQL: سلسلة مقتبسة غير مكتملة بشكل غير صحيح" أو "حرف غير صالح" ، تكون قاعدة البيانات عرضة لإدخال SQL.
  2. 2 أوجد عدد الأعمدة. ارجع إلى صفحة تسجيل الدخول إلى قاعدة البيانات (أو أي عنوان آخر ينتهي بـ "id =" أو "catid =") وانقر على شريط العنوان. اضغط على المسافة بعد العنوان وأدخل الطلب بمقدار 1 ، ثم اضغط ↵ أدخل... قم بزيادة الرقم إلى 2 واضغط ↵ أدخل... استمر في زيادة الطلب حتى يظهر الخطأ. سيكون الرقم الذي أدخلته قبل الرقم الذي يحتوي على خطأ إملائي هو العدد الفعلي للأعمدة.
  3. 3 اكتشف الوظائف التي تقبل استعلامات البحث. ابحث عن شريط العنوان وقم بتغيير نهاية العنوان من catid = 1 أو id = 1 إلى catid = -1 أو id = -1. اضغط على مسافة واكتب union حدد 1،2،3،4،5،6 (إذا كان هناك 6 أعمدة).يجب أن يصل العدد إلى إجمالي عدد الأعمدة ، مع فصل كل رقم بفاصلة. انقر فوق ↵ أدخل وسترى أرقام جميع الأعمدة التي تقبل الاستعلامات.
  4. 4 أدخل جمل SQL في العمود. على سبيل المثال ، إذا كنت تريد معرفة اسم المستخدم الحالي وتضمين الرمز في العمود 2 ، فامسح كل شيء بعد المعرف = 1 في شريط العناوين واضغط على شريط المسافة. ثم اكتب union select 1، concat (user ())، 3،4،5،6--. انقر فوق ↵ أدخل وستعرض الشاشة اسم مستخدم قاعدة البيانات الحالي. أدخل عبارات SQL المختلفة لعرض معلومات متنوعة ، مثل قائمة أسماء المستخدمين وكلمات المرور للتغلب عليها.

الطريقة 2 من 3: كسر كلمة مرور الجذر

  1. 1 حاول تسجيل الدخول كمستخدم متميز باستخدام كلمة المرور الافتراضية. لا تحتوي بعض قواعد البيانات على كلمة مرور افتراضية للمستخدم المتميز (المسؤول) ، لذا حاول تسجيل الدخول باستخدام كلمة المرور فارغة. تحتوي قواعد البيانات الأخرى على كلمة مرور افتراضية ، والتي يمكن العثور عليها بسهولة في منتدى الدعم الفني.
  2. 2 جرب كلمات المرور الشائعة. إذا كان الحساب محميًا بكلمة مرور (وهو أمر محتمل جدًا) ، فحاول استخدام تركيبات شائعة لاسم المستخدم وكلمة المرور. ينشر بعض المتسللين قوائم بكلمات المرور المخترقة علنًا ، ويستخدمون برامج تكسير خاصة. جرب توليفات مختلفة من اسم المستخدم وكلمة المرور.
    • يمكنك العثور على مجموعة كلمات المرور الخاصة بك على هذا الموقع الموثوق به: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • قد يستغرق إدخال كلمات المرور يدويًا وقتًا طويلاً جدًا ، ولكن جرب حظك على أي حال ، وبعد ذلك فقط انتقل إلى استخدام المدفعية الثقيلة.
  3. 3 استخدم برنامج تكسير كلمة المرور. استخدم برامج مختلفة وحاول كسر كلمة المرور الخاصة بك عن طريق إدخال آلاف الكلمات ومجموعات الحروف والأرقام والرموز.
    • برامج تكسير كلمات المرور الشائعة هي: DBPwAudit (لـ Oracle و MySQL و MS-SQL و DB2) و Access Passview (لـ MS Access). بمساعدتهم ، يمكنك كسر كلمة مرور العديد من قواعد البيانات. يمكنك أيضًا العثور على برنامج جيلبريك مصمم خصيصًا لقاعدة بياناتك على Google. على سبيل المثال ، أدخل برنامج oracle db hack في مربع البحث إذا كنت تريد اختراق قاعدة بيانات Oracle.
    • إذا كان لديك حساب على الخادم الذي يستضيف قاعدة البيانات ، فقم بتشغيل برنامج تكسير التجزئة (مثل John the Ripper) وحاول كسر ملف كلمة المرور. يوجد ملف التجزئة في أماكن مختلفة في قواعد بيانات مختلفة.
    • قم بتنزيل البرامج من المواقع الموثوقة فقط. ادرس البرامج بعناية قبل استخدامها.

طريقة 3 من 3: عيوب في قاعدة البيانات

  1. 1 ابحث عن الثغرة. قامت Sectools.org بتجميع قائمة بالدفاعات المختلفة (بما في ذلك الثغرات) لمدة عشر سنوات حتى الآن. تتمتع برامجهم بسمعة طيبة ويستخدمها مسؤولو النظام لحماية أنظمتهم حول العالم. افتح قائمة استغلالهم (أو ابحث عنها في موقع آخر موثوق به) وابحث عن البرامج أو الملفات النصية التي يمكنها اختراق قواعد البيانات.
    • موقع آخر يحتوي على قائمة بالمآثر وهو www.exploit-db.com. انتقل إلى موقع الويب الخاص بهم وانقر على رابط "بحث" ، ثم ابحث عن قاعدة البيانات التي تريد اختراقها (على سبيل المثال ، "أوراكل"). أدخل كلمة التحقق في الحقل المناسب وانقر على زر البحث.
    • تأكد من البحث عن أي ثغرات تنوي اختبارها حتى تعرف ما يجب فعله في حالة حدوث مشكلة.
  2. 2 ابحث عن الشبكة الضعيفة عن طريق القيادة. يقود Wardriving (ركوب الدراجات أو المشي) حول منطقة مع تمكين برنامج مسح الشبكة (مثل NetStumbler أو Kismet) للبحث عن الشبكات غير الآمنة. من الناحية الفنية ، يعد التجريد أمرًا قانونيًا ، لكن الأنشطة غير القانونية من الشبكة التي وجدتها من خلال القيادة ليست كذلك.
  3. 3 استفد من فجوة قاعدة البيانات من شبكة ضعيفة. إذا كنت تفعل شيئًا لا ينبغي عليك فعله ، ابق بعيدًا عن الويب. قم بالاتصال عبر اتصال لاسلكي بإحدى الشبكات المفتوحة التي وجدتها من خلال القيادة وإطلاق الثغرة المحددة.

نصائح

  • احتفظ دائمًا بالبيانات المهمة خلف جدار الحماية.
  • تأكد من حماية كلمة المرور لشبكتك اللاسلكية لمنع الحراس من استخدام الشبكة المنزلية الخاصة بك لإطلاق الثغرات.
  • ابحث عن متسللين آخرين واطلب منهم بعض النصائح.في بعض الأحيان ، لا يمكن العثور على المعرفة الأكثر فائدة حول عمل المتسللين في المجال العام.

تحذيرات

  • تعرف على قوانين وعواقب القرصنة في بلدك.
  • لا تحاول أبدًا الحصول على وصول غير قانوني إلى جهاز من شبكتك.
  • يعد تسجيل الدخول إلى قاعدة بيانات شخص آخر غير قانوني.

حدد الإدارة

كيفية حذف قناة Discord على نظام Android
كيفية حذف قناة Discord على نظام Android
كيفية تنظيف غسالة الأطباق المصنوعة من الفولاذ المقاوم للصدأ
كيفية تنظيف غسالة الأطباق المصنوعة من الفولاذ المقاوم للصدأ
كيف تعرف ماذا تحمل في حقيبتك
كيف تعرف ماذا تحمل في حقيبتك
كيفية ربط عقدة مستقيمة
كيفية ربط عقدة مستقيمة