Njia bora ya kuhakikisha hifadhidata yako iko salama kutokana na mashambulio ya wadukuzi ni kufikiria kama hacker. Ikiwa wewe ni mtapeli, unatafuta habari gani? Jinsi ya kupata habari hiyo? Kuna aina tofauti za hifadhidata na njia tofauti za kuzidanganya, lakini wadukuzi wengi watajaribu kupata nywila ya msingi au kuendesha unyonyaji wa hifadhidata. Unaweza kudukua hifadhidata ikiwa unajua taarifa za SQL na unaelewa misingi ya hifadhidata.
Hatua
Njia 1 ya 3: Kutumia sindano ya SQL
Hatua ya 1. Pata udhaifu wa hifadhidata
Lazima uelewe taarifa za hifadhidata ili uweze kutumia njia hii. Nenda kwenye skrini ya kuingia kwenye wavuti ya hifadhidata kwenye kivinjari chako cha wavuti na andika '(nukuu moja) kwenye sanduku la jina la mtumiaji. Bonyeza "Ingia." Ikiwa utaona ujumbe wa kosa ambao unasema "Ubaguzi wa SQL: kamba iliyonukuliwa haijaachishwa vizuri" au "tabia isiyo sahihi," inamaanisha kuwa hifadhidata iko hatarini kwa SQL.
Hatua ya 2. Pata idadi ya nguzo
Rudi kwenye ukurasa wa kuingia kwenye hifadhidata (au URL nyingine yoyote inayoishia kwa "id =" au "catid =") na bonyeza sanduku la anwani ya kivinjari. Mwisho wa URL, bonyeza kitufe cha nafasi na andika
kuagiza na 1
kisha bonyeza Enter. Ongeza nambari hadi 2 na bonyeza Enter. Endelea kuongeza nambari hadi upate ujumbe wa kosa. Nambari ya safu ni kweli nambari iliyoingizwa kabla ya nambari iliyozalisha ujumbe wa kosa.
Hatua ya 3. Pata safu ambayo inakubali ombi (swala)
Mwisho wa URL kwenye kisanduku cha anwani ya kivinjari, badilisha
katuni = 1
au
id = 1
Inakuwa
katuni = -1
au
id = -1
. Bonyeza mwambaa wa nafasi na andika
umoja chagua 1, 2, 3, 4, 5, 6
(ikiwa kuna safu 6). Nambari lazima ziamriwe hadi idadi kamili ya nguzo, na kila nambari ikatenganishwa na koma. Bonyeza Enter na utaona nambari za kila safu zilizokubali programu.
Hatua ya 4. Ingiza taarifa ya SQL kwenye safu
Kwa mfano, ikiwa unataka kujua ni nani mtumiaji wa sasa na weka sindano kwenye safu ya 2, ondoa maandishi yote kwenye URL baada ya id = 1 na bonyeza kitufe cha nafasi. Baada ya hapo, tik
umoja chagua 1, concat (mtumiaji ()), 3, 4, 5, 6--
. Bonyeza Ingiza na utaona jina la mtumiaji la hifadhidata kwenye skrini. Tumia taarifa inayotakiwa ya SQL kurudisha habari, kama orodha ya majina ya watumiaji na nywila za kudanganya.
Njia ya 2 ya 3: Kutapeli Nywila ya Mizizi ya Hifadhidata
Hatua ya 1. Jaribu kuingia kama mzizi na nywila ya asili (chaguomsingi)
Hifadhidata zingine hazina nenosiri la msingi la mizizi (admin) kwa hivyo unaweza kuondoa sanduku la nenosiri. Hifadhidata zingine zina nywila za asili ambazo zinaweza kupatikana kwa urahisi kwa kutafuta jukwaa la huduma ya kiufundi ya hifadhidata.
Hatua ya 2. Jaribu nenosiri linalotumiwa sana
Ikiwa msimamizi anafunga akaunti na nywila (uwezekano mkubwa), jaribu mchanganyiko wa kawaida wa jina la mtumiaji / nywila. Baadhi ya wadukuzi huorodhesha orodha ya nywila kwa njia za umma ambazo wanabadilisha kutumia zana za ukaguzi. Jaribu jina tofauti la mtumiaji na nenosiri.
- Tovuti inayoaminika ambayo ina orodha ya nywila zinazohusiana ni
- Kujaribu nenosiri moja kwa wakati kunaweza kuchukua muda, lakini inafaa kujaribu kabla ya kutumia njia kali zaidi.
Hatua ya 3. Tumia zana za ukaguzi
Unaweza kutumia vifaa anuwai kujaribu maelfu ya mchanganyiko wa maneno kwenye kamusi na ubonyeze herufi / nambari / alama hadi nenosiri litakapopasuka.
-
Zana kama DBPwAudit (kwa Oracle, MySQL, MS-SQL na DB2) na Access Passview (ya MS Access) ni zana maarufu za ukaguzi wa nywila na zinaweza kutumika kwa hifadhidata nyingi. Unaweza pia kutafuta zana za hivi karibuni za ukaguzi wa nywila maalum kwa hifadhidata yako kupitia Google. Kwa mfano, jaribu kutafuta
chombo cha ukaguzi wa nenosiri db
- ikiwa unataka kudanganya hifadhidata ya Oracle.
- Ikiwa una akaunti kwenye seva inayohifadhi hifadhidata, unaweza kuendesha programu ya hashi kama vile John the Ripper kwenye faili ya nenosiri la hifadhidata. Mahali ya faili ya hashi inategemea hifadhidata inayohusiana.
- Pakua programu tu kutoka kwa wavuti zinazoaminika. Tafiti kifaa kwa uangalifu kabla ya matumizi.
Njia 3 ya 3: Kuendesha Matumizi ya Hifadhidata
Hatua ya 1. Tafuta unyonyaji wa kukimbia
Secttools.org imekuwa ikiandika zana za usalama (pamoja na unyonyaji) kwa zaidi ya miaka 10. Zana hizi kwa ujumla zinaaminika na hutumiwa sana na wasimamizi wa mfumo kote ulimwenguni kwa upimaji wa mfumo wa usalama. Angalia hifadhidata ya "Unyonyaji" kwenye wavuti hii au tovuti zingine zinazoaminika kwa zana au faili zingine za maandishi ambazo zinakusaidia kutumia alama dhaifu katika mfumo wa usalama wa hifadhidata.
- Tovuti nyingine ambayo nyaraka hutumia ni www.exploit-db.com. Tembelea wavuti na ubofye kiunga cha Utafutaji, kisha utafute aina ya hifadhidata unayotaka kuibadilisha (kwa mfano, "oracle"). Andika msimbo wa Captcha kwenye kisanduku kilichopewa na utafute.
- Hakikisha unatafuta unyonyaji wowote unayotaka kujaribu kujua jinsi ya kushughulikia shida zozote zinazoweza kutokea.
Hatua ya 2. Pata mitandao dhaifu kwa kutumia wodi
Wodi ni kuendesha gari (au baiskeli, au kutembea) kuzunguka eneo wakati wa kutumia zana ya utaftaji wa mtandao (kama vile NetStumbler au Kismet) kutafuta mitandao yenye usalama dhaifu. Njia hii ni haramu kiufundi.
Hatua ya 3. Tumia ushujaa wa hifadhidata kutoka kwa mitandao dhaifu ya usalama
Ikiwa unafanya kitu ambacho hupaswi kufanya, ni bora usifanye kutoka kwa mtandao wako wa faragha. Tumia mtandao wazi wa wavuti uliopatikana wakati wa wodi na uendesha ushujaa ambao umetafitiwa na kuchaguliwa.
Vidokezo
- Daima weka data nyeti nyuma ya firewall.
- Hakikisha unalinda mtandao wa wireless na nenosiri ili wahudumu hawawezi kutumia mtandao wako wa nyumbani kutekeleza unyonyaji.
- Uliza vidokezo kutoka kwa wadukuzi wengine. Wakati mwingine, sayansi bora ya udukuzi haienezwi kwenye wavuti.
Onyo
- Kuelewa sheria na matokeo ya utapeli katika nchi yako.
- Kamwe usijaribu kupata ufikiaji haramu wa mashine kutoka kwa mtandao wako mwenyewe.
- Kupata hifadhidata ambayo sio yako ni kinyume cha sheria.
