Efni.

• Skref
• Aðferð 1 af 3: SQL innspýting
• Aðferð 2 af 3: Sprunga á rót lykilorðinu
• Aðferð 3 af 3: Gagnagrunnur galla
• Ábendingar
• Viðvaranir

Til að vernda gagnagrunninn þinn fyrir tölvusnápur þarftu að hugsa eins og tölvusnápur. Ef þú værir tölvusnápur, hvaða upplýsingar myndir þú leita að? Hvernig myndirðu fá það? Það eru margar mismunandi gerðir af gagnagrunnum og margar leiðir til að hakka þær. Oft reynir tölvusnápur að sprunga rót lykilorð eða nota nýta. Ef þú þekkir SQL fullyrðingar og grunnhugtök gagnagrunna skaltu prófa að sprunga eitt þeirra.

Skref

Aðferð 1 af 3: SQL innspýting

1. 1 Finndu út hvort gagnagrunnurinn er með veikleika. Fyrir þessa aðferð þarftu að skilja gagnagrunnsrekendur. Opnaðu vafrann þinn og opnaðu tengi gagnagrunnsins. Sláðu síðan inn (eina tilvitnun) í notendanafnareitinn. Smelltu á Innskráning. Ef þú færð villuna „SQL Undantekning: Tilvitnaður strengur ekki fullgerður rangt“ eða „Ógildur stafur“ er gagnagrunnurinn viðkvæmur fyrir innspýtingu SQL.
2. 2 Finndu fjölda dálka. Farðu aftur á innskráningarsíðu gagnagrunnsins (eða annað heimilisfang sem endar með "id =" eða "catid =") og smelltu á veffangastikuna. Ýttu á bilið á eftir heimilisfanginu og sláðu inn röð með 1, ýttu síðan á Sláðu inn... Fjölgaðu í 2 og ýttu á Sláðu inn... Haltu áfram að auka pöntunina þar til villan birtist. Númerið sem þú slóst inn fyrir númerið sem er stafsett vitlaust verður raunverulegur fjöldi dálka.
3. 3 Finndu út hvaða færslur samþykkja leitarfyrirspurnir. Finndu veffangastikuna og breyttu enda heimilisfangsins úr catid = 1 eða id = 1 í catid = -1 eða id = -1. Ýttu á bil og skrifaðu sameiningu veldu 1,2,3,4,5,6 (ef það eru 6 dálkar).Talningin verður að vera allt að heildarfjölda dálka, þar sem hver stafur er aðskilinn með kommu. Smelltu á Sláðu inn og þú munt sjá tölur allra dálka sem taka við fyrirspurnum.
4. 4 Sláðu inn SQL setningar í dálkinum. Til dæmis, ef þú vilt finna út nafn núverandi notanda og fella kóðann í dálk 2 skaltu eyða öllu eftir id = 1 í veffangastikunni og ýta á bilstikuna. Sláðu síðan inn union select 1, concat (user ()), 3,4,5,6--. Smelltu á Sláðu inn og skjárinn mun birta nafn núverandi gagnagrunnsnotanda. Sláðu inn ýmsar SQL setningar til að birta ýmsar upplýsingar, svo sem lista yfir notendanöfn og lykilorð til að sprunga.

Aðferð 2 af 3: Sprunga á rót lykilorðinu

1. 1 Prófaðu að skrá þig inn sem ofnotandi með því að nota sjálfgefið lykilorð. Sumir gagnagrunnar eru ekki með sjálfgefið ofnotandi (admin) lykilorð, svo reyndu að skrá þig inn með lykilorðið autt. Aðrir gagnagrunnar hafa sjálfgefið lykilorð sem auðvelt er að finna á tæknilegum stuðningsvettvangi.
2. 2 Prófaðu algeng lykilorð. Ef stjórnandinn hefur aðgangsorða reikninginn (sem er mjög líklegt) skaltu prófa að nota algengar notendanöfn og samsetningar lykilorða. Sumir tölvusnápur birta opinberlega lista yfir sprungin lykilorð og þeir nota sérstök sprunguforrit. Prófaðu mismunandi samsetningar notendanafns og lykilorðs.
   • Þú getur fundið safn þitt af lykilorðum á þessari traustu síðu: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
   • Að slá inn lykilorð handvirkt getur tekið mjög langan tíma, en reyndu heppnina samt og farðu síðan yfir í þung stórskotalið.
3. 3 Notaðu forrit til að sprunga lykilorð. Notaðu ýmis forrit og reyndu að sprunga lykilorðið þitt með því að slá inn þúsundir orða og samsetningar af bókstöfum, tölustöfum og táknum.
   • Vinsæl forrit til að sprunga lykilorð eru: DBPwAudit (fyrir Oracle, MySQL, MS-SQL og DB2) og Access Passview (fyrir MS Access). Með hjálp þeirra geturðu sprungið lykilorð margra gagnagrunna. Þú getur líka fundið flóttaforrit sem er sérstaklega hannað fyrir gagnagrunninn þinn á Google. Til dæmis, sláðu inn oracle db hakkforrit í leitarreitnum ef þú vilt hakka inn Oracle gagnagrunn.
   • Ef þú ert með reikning á netþjóninum sem hýsir gagnagrunninn skaltu keyra kjötkássa (eins og John the Ripper) og reyna að sprunga lykilorðaskrána. Kjötkássa skrá er staðsett á mismunandi stöðum í mismunandi gagnagrunnum.
   • Sæktu forrit aðeins frá traustum vefsíðum. Rannsakaðu forritin vandlega áður en þú notar þau.

Aðferð 3 af 3: Gagnagrunnur galla

1. 1 Finndu nýtinguna. Sectools.org hefur tekið saman lista yfir ýmsar varnir (þar með talið hetjudáð) í tíu ár núna. Forrit þeirra hafa gott orðspor og eru notuð af kerfisstjóra til að vernda kerfi sín um allan heim. Opnaðu nýtingarlistann þeirra (eða finndu þá á annarri traustri síðu) og leitaðu að forritum eða textaskrám sem geta komist í gagnagrunna.
   • Önnur síða með lista yfir hetjudáð er www.exploit-db.com. Farðu á vefsíðu þeirra og smelltu á hnappinn „Leita“ og finndu síðan gagnagrunninn sem þú vilt hakka (til dæmis „véfrétt“). Sláðu inn captcha í viðeigandi reit og smelltu á leitarhnappinn.
   • Vertu viss um að rannsaka allar ágallar sem þú ætlar að prófa svo þú vitir hvað þú átt að gera ef vandamál koma upp.
2. 2 Finndu viðkvæma netið með því að fanga. Wardriving er að keyra (hjóla eða ganga) um svæði þar sem hugbúnaður fyrir netskönnun er virkur (eins og NetStumbler eða Kismet) til að leita að ótryggðum netkerfum. Tæknilega séð er föngun lögleg, en ólögleg athöfn frá netinu sem þú fannst með því að fanga.
3. 3 Nýttu þér gagnagrunnshol frá viðkvæmu netkerfi. Ef þú ert að gera eitthvað sem þú ættir ekki að halda skaltu vera utan vefsins. Tengdu þig um þráðlausa tengingu við eitt af opnu netunum sem þú fannst með því að fanga og ræstu valda nýtingu.

Ábendingar

• Hafðu alltaf mikilvæg gögn á bak við eldvegg.
• Vertu viss um að vernda þráðlausa netið þitt með lykilorði til að koma í veg fyrir að fararstjórar noti heimanetið þitt til að ræsa hetjudáð.
• Finndu aðra tölvusnápur og biðja þá um ráð.Stundum er gagnlegasta þekkingin um störf tölvusnápur ekki að finna á almannafæri.

Viðvaranir

• Lærðu um lög og afleiðingar reiðhestar í þínu landi.
• Aldrei reyna að fá ólöglegan aðgang að tæki frá netinu þínu.
• Það er ólöglegt að skrá sig inn í gagnagrunn einhvers annars.