Innholdsfortegnelse:
- Verktøy for å oppdage databasen hackingsrisiko
- SQLPing3 tjener også som et godt ordbokbasert SQL Server-passordsprekkingsprogram. Den sjekker for tomme sa passord som standard. Et annet gratis verktøy for å spre SQL Server, MySQL og Oracle passord hashes er Cain & Abel.
- Som med operativsystemer og webapplikasjoner kan enkelte databasespesifikke sårbarheter kun roteres ved å bruke de riktige verktøyene. Du kan bruke QualysGuard til å finne slike problemer som
Video: Slik minimerer du lukingen i år! 2025
Databasesystemer, som Microsoft SQL Server, MySQL og Oracle, har lurket bak kulissene, men deres verdi og deres sårbarheter har endelig kommet til forkant. Ja, selv den mektige Oracle som en gang hevdet å være unhackable, er mottakelig for lignende utnytter som sin konkurranse. Med de mange lovkravene som gjelder databasesikkerhet, kan det nesten ikke skjules noen av de risikoene som ligger innenfor.
Verktøy for å oppdage databasen hackingsrisiko
Som med trådløse operativsystemer og så videre, trenger du gode verktøy hvis du skal finne databasens sikkerhetsproblemer som teller. Følgende er noen verktøy for testing av databasesikkerhet:
-
Avansert SQL Password Recovery for å spre Microsoft SQL Server-passord
-
Cain & Abel for cracking database password hashes
QualysGuard -
for å utføre grundige sårbarhetsskanninger SQLPing3
-
for å finne Microsoft SQL-servere på nettverket, sjekke for tomme passord (standard SQL Server system administrator account), og utføre ordliste passord-cracking angrep Du kan også bruke utnyttelsesverktøy, for eksempel Metasploit, til databasetesting.
Finn databaser på nettverket
Ved bruk av sensitive data i de ukontrollerte områdene for utvikling og kvalitetssikring (QA) er det et datautbrudd som venter på å skje.
Det beste verktøyet for å oppdage Microsoft SQL Server-systemer er SQLPing3.
SQLPing3 kan oppdage forekomster av SQL Server skjult bak personlige brannmurer og mer - en funksjon som tidligere kun var tilgjengelig i SQLPing2s søstersøknad SQLRecon.
Hvis du har Oracle i ditt miljø, har Pete Finnigan en flott liste over Oracle-sentriske sikkerhetsverktøy på www. petefinnigan. com / verktøy. htm som kan utføre funksjoner som ligner på SQLPing3.
Crack database passord
SQLPing3 tjener også som et godt ordbokbasert SQL Server-passordsprekkingsprogram. Den sjekker for tomme sa passord som standard. Et annet gratis verktøy for å spre SQL Server, MySQL og Oracle passord hashes er Cain & Abel.
Det kommersielle produktet Elcomsoft Distributed Password Recovery kan også spre Oracle password hashes.
Hvis du har tilgang til SQL Server-masteren. MDF-filer, kan du bruke Elcomsoft Advanced SQL Password Recovery for å gjenopprette databasepassordene umiddelbart.
Du kan snuble over noen eldre Microsoft Access-databasefiler som også er passordbeskyttet. Ingen bekymringer: Verktøyet Advanced Office Password Recovery kan få deg rett inn.
Som du kan forestille deg, er disse verktøyene for sprekk-cracking en fin måte å demonstrere de mest grunnleggende svakhetene i databasens sikkerhet. En av de beste måtene å gå om å bevise at det er et problem, er å bruke Microsoft SQL Server 2008 Management Studio Express til å koble til databasene du nå har passordene for og konfigurere bakdørskontoer eller bla gjennom for å se hva som er tilgjengelig.
I praktisk talt alle ubeskyttede SQL Server-systemer er det sensitiv personlig finansiell eller helsepersonell tilgjengelig for å ta.
Skann databaser for sikkerhetsproblemer
Som med operativsystemer og webapplikasjoner kan enkelte databasespesifikke sårbarheter kun roteres ved å bruke de riktige verktøyene. Du kan bruke QualysGuard til å finne slike problemer som
Bufferoverløp
-
Privilege eskaleringer
-
Passord hashes tilgjengelig via standard / ubeskyttede kontoer
-
Svake autentiseringsmetoder aktivert
-
Database lytterloggfiler som kan omdøpes uten autentisering
-
En stor all-in-one kommersiell database sårbarhetsskanner for å utføre dyptgående database sjekker - inkludert brukerrettigheter revisjoner på SQL Server, Oracle og så videre - er AppDetectivePro. AppDetectivePro kan være et godt tillegg til ditt sikkerhetsprøvningsverktøy arsenal hvis du kan rettferdiggjøre investeringen.
Mange sårbarheter kan testes både fra et uautorisert outsiderperspektiv og på et betrodd insiderperspektiv. For eksempel kan du bruke SYSTEM-kontoen for Oracle til å logge inn, oppsummere og skanne systemet (noe som QualysGuard støtter).
![Slik legger du inn video på tidslinjen i Adobe Flash CS6 - dummies <[SET:descriptionno]For å gjøre det mulig å legge inn video på tidslinjen i Adobe Flash CS6](https://i.howtospotfake.org/img/software-2018/how-to-embed-video-on-timeline-in-adobe-flash-cs6.jpg "Slik legger du inn video på tidslinjen i Adobe Flash CS6 - dummies <[SET:descriptionno]For å gjøre det mulig å legge inn video på tidslinjen i Adobe Flash CS6")
