డేటాబేస్ను ఎలా హాక్ చేయాలి
రచయిత:
Judy Howell
సృష్టి తేదీ:
26 జూలై 2021
నవీకరణ తేదీ:
21 జూన్ 2024
విషయము
- దశల్లో
- విధానం 1 SQL ఇంజెక్షన్ ఉపయోగించండి
- విధానం 2 డేటాబేస్ యొక్క పాస్వర్డ్ను హాక్ చేయండి
- విధానం 3 డేటాబేస్లలో లొసుగులను వాడండి
మీ డేటాబేస్ హ్యాకర్ల నుండి రక్షించబడిందని నిర్ధారించుకోవడానికి ఉత్తమ మార్గం హ్యాకర్ లాగా ఆలోచించడం. మీరు ఒకరు అయితే, మీరు ఎలాంటి సమాచారాన్ని కనుగొనాలనుకుంటున్నారు? మీరు వాటిని ఎలా కనుగొంటారు? అనేక రకాల డేటాబేస్లు మరియు వాటిని హ్యాక్ చేయడానికి వివిధ మార్గాలు ఉన్నాయి, కాని చాలా మంది హ్యాకర్లు పాస్వర్డ్ను కనుగొనడానికి ప్రయత్నిస్తారు లేదా డేటాబేస్ యొక్క బలహీనమైన పాయింట్ను దోపిడీ చేసే ప్రోగ్రామ్ను ప్రారంభిస్తారు. మీరు SQL స్టేట్మెంట్లతో సుఖంగా ఉంటే మరియు డేటాబేస్లు ఎలా పని చేస్తాయనే దానిపై మూలాధార జ్ఞానం ఉంటే, మీరు ఒకదాన్ని హ్యాక్ చేయగలరు.
దశల్లో
విధానం 1 SQL ఇంజెక్షన్ ఉపయోగించండి
- డేటాబేస్ హాని కలిగి ఉంటే మీరే ప్రశ్నించుకోండి. ఈ పద్ధతిని ఉపయోగించడానికి మీకు కొంత పన్ను పరిజ్ఞానం ఉండాలి. మీ బ్రౌజర్లో డేటాబేస్ లాగిన్ పేజీని తెరిచి టైప్ చేయండి (అపోస్ట్రోఫీ) వినియోగదారు పేరు కోసం ఫీల్డ్లో. క్లిక్ చేయండి Senregistrer. "SQL మినహాయింపు: కోట్ చేసిన స్ట్రింగ్ సరిగ్గా రద్దు చేయబడలేదు" లేదా "చెల్లని అక్షరం" అని చెప్పే లోపం మీరు చూస్తే, డేటాబేస్ SQL ఇంజెక్షన్కు గురవుతుంది.
-
నిలువు వరుసల సంఖ్యను కనుగొనండి. లాగిన్ పేజీకి తిరిగి వెళ్ళు (లేదా "id =" లేదా "catid =" తో ముగిసే ఏదైనా URL) మరియు బ్రౌజర్ చిరునామా పట్టీపై క్లిక్ చేయండి. URL తరువాత, స్పేస్ బార్ నొక్కండి మరియు టైప్ చేయండి1 ద్వారా ఆర్డర్ చేయండి
, ఆపై నొక్కండి ఎంట్రీ. 1 ని 2 కి మార్చండి మరియు మళ్ళీ నొక్కండి ఎంట్రీ. మీకు లోపం వచ్చేవరకు ఈ సంఖ్యను పెంచడం కొనసాగించండి. నిలువు వరుసల సంఖ్య మీరు లోపానికి కారణమైన ముందు నమోదు చేసిన సంఖ్య. -
ప్రశ్నలను అంగీకరించే నిలువు వరుసలను కనుగొనండి. చిరునామా పట్టీలోని URL చివరిలో, మార్చండిcatid = 1
లేదాid = 1
మరియు చాలుcatid = -1
లేదాid = -1
. స్పేస్ బార్ నొక్కండి మరియు టైప్ చేయండిUNION 1,2,3,4,5,6 ఎంచుకోండి
(ఆరు నిలువు వరుసలు ఉంటే) మీరు అక్కడ ఉంచిన సంఖ్యలు నిలువు వరుసల సంఖ్యతో సరిపోలాలి మరియు ప్రతి ఒక్కటి కామాతో వేరుచేయబడాలి. ప్రెస్ ఎంట్రీ మరియు ప్రశ్నను అంగీకరించే ప్రతి కాలమ్ యొక్క సంఖ్యలను మీరు చూస్తారు. -
SQL స్టేట్మెంట్లను ఇంజెక్ట్ చేయండి. ఉదాహరణకు, మీరు ప్రస్తుత వినియోగదారుని తెలుసుకోవాలనుకుంటే మరియు రెండవ నిలువు వరుసలో ఇంజెక్షన్ చేయాలనుకుంటే, మీరు స్పేస్బార్ను నొక్కే ముందు URL లోని "id = 1" తర్వాత ప్రతిదీ తొలగించాలి. అప్పుడు, టైప్ చేయండిUNION SELECT 1, CONCAT (యూజర్ ()), 3,4,5,6--
. ప్రెస్ ఎంట్రీ మరియు మీరు ప్రస్తుత యూజర్ పేరును తెరపై చూస్తారు. హ్యాక్ చేయడానికి వినియోగదారు పేర్లు మరియు పాస్వర్డ్ల జాబితా వంటి సమాచారాన్ని ప్రదర్శించడానికి ఏదైనా SQL స్టేట్మెంట్ను ఉపయోగించండి.
విధానం 2 డేటాబేస్ యొక్క పాస్వర్డ్ను హాక్ చేయండి
-
రూట్కు కనెక్ట్ చేయడానికి ప్రయత్నించండి. కొన్ని డేటాబేస్లకు డిఫాల్ట్ రూట్లో పాస్వర్డ్ లేదు, కాబట్టి పాస్వర్డ్ ఫీల్డ్ను ఖాళీగా ఉంచడం ద్వారా మీకు ప్రాప్యత ఉండవచ్చు. ఇతరులకు డిఫాల్ట్ పాస్వర్డ్లు ఉన్నాయి, వీటిని తగిన ఫోరమ్లలో శోధించడం ద్వారా మీరు సులభంగా కనుగొనవచ్చు. -
సాధారణ పాస్వర్డ్లను ప్రయత్నించండి. నిర్వాహకుడు పాస్వర్డ్తో డేటాబేస్ను భద్రపరిచినట్లయితే (ఇది సాధారణంగా జరుగుతుంది), వినియోగదారు పేరు మరియు పాస్వర్డ్ కలయికను ప్రయత్నించండి. కొంతమంది హ్యాకర్లు ధృవీకరణ సాధనాలను ఉపయోగించి పగుళ్లు ఉన్న ఆన్లైన్ పాస్వర్డ్ జాబితాలను పోస్ట్ చేస్తున్నారు. వినియోగదారు పేర్లు మరియు పాస్వర్డ్ల విభిన్న కలయికలను ప్రయత్నించండి.- ఉదాహరణకు, https://github.com/danielmiessler/SecLists/tree/master/Passwords గుర్తించబడిన సైట్, ఇక్కడ మీరు పాస్వర్డ్ల జాబితాలను కనుగొంటారు.
- మీ చేతిలో పాస్వర్డ్లను ప్రయత్నించడానికి మీరు కొంత సమయం కోల్పోతారు, కాని మీరు భారీ ఫిరంగిని బయటకు వెళ్ళే ముందు ప్రయత్నించడం విలువ.
-
పాస్వర్డ్ ధృవీకరణ సాధనాన్ని ఉపయోగించండి. మీరు డిక్షనరీలోని పదాలు మరియు అక్షరాలు, సంఖ్యలు లేదా చిహ్నాలలో వేలాది పదాల కలయికను ప్రయత్నించడానికి అనేక సాధనాలను ఉపయోగించవచ్చు.- DBPwAudit (ఒరాకిల్, MySQL, MS-SQL మరియు DB2 కోసం) మరియు యాక్సెస్ పాస్వ్యూ (MS యాక్సెస్ కోసం) వంటి కొన్ని సాధనాలు మీరు చాలా డేటాబేస్లలో ఉపయోగించగల ప్రసిద్ధ సాధనాలు. మీకు ఆసక్తి ఉన్న డేటాబేస్ కోసం ప్రత్యేకంగా రూపొందించిన కొత్త సాధనాలను కనుగొనడానికి మీరు Google లో కూడా శోధించవచ్చు. ఉదాహరణకు, మీరు శోధించవచ్చు
పాస్వర్డ్ ఆడిట్ సాధనం ఒరాకిల్ db
మీరు ఒరాకిల్ డేటాబేస్ను హ్యాక్ చేస్తే. - డేటాబేస్ హోస్ట్ చేసే సర్వర్లో మీకు ఖాతా ఉంటే, మీరు పాస్వర్డ్ హ్యాకింగ్ సాఫ్ట్వేర్ను అమలు చేయవచ్చు జాన్ ది రిప్పర్ దానిని కనుగొనడానికి. డేటాబేస్ను బట్టి హాష్ ఫైల్ యొక్క స్థానం భిన్నంగా ఉంటుంది.
- మీరు విశ్వసించే సైట్ల నుండి మాత్రమే సాఫ్ట్వేర్ను డౌన్లోడ్ చేయండి. ఈ సాధనాలను ఉపయోగించే ముందు వాటిని పరిశోధించండి.
- DBPwAudit (ఒరాకిల్, MySQL, MS-SQL మరియు DB2 కోసం) మరియు యాక్సెస్ పాస్వ్యూ (MS యాక్సెస్ కోసం) వంటి కొన్ని సాధనాలు మీరు చాలా డేటాబేస్లలో ఉపయోగించగల ప్రసిద్ధ సాధనాలు. మీకు ఆసక్తి ఉన్న డేటాబేస్ కోసం ప్రత్యేకంగా రూపొందించిన కొత్త సాధనాలను కనుగొనడానికి మీరు Google లో కూడా శోధించవచ్చు. ఉదాహరణకు, మీరు శోధించవచ్చు
విధానం 3 డేటాబేస్లలో లొసుగులను వాడండి
-
తగిన ప్రోగ్రామ్ను కనుగొనండి. సెక్టూల్స్.ఆర్గ్ అనేది భద్రతా సాధనాల సూట్ (ఇప్పుడు మీకు ఆసక్తి ఉన్న వాటితో సహా) ఇది పదేళ్లుగా ఉంది. వారి సాధనాలను భద్రతా పరీక్ష చేయడానికి ప్రపంచవ్యాప్తంగా ఉన్న నిర్వాహకులు గుర్తించి ఉపయోగిస్తున్నారు. డేటాబేస్లలో భద్రతా ఉల్లంఘనలను కనుగొనడంలో మీకు సహాయపడే సాధనాలు లేదా ఫైళ్ళ కోసం వారి ఆపరేటింగ్ డేటాబేస్ను తనిఖీ చేయండి (లేదా మీరు విశ్వసించే ఇలాంటి సైట్ను కనుగొనండి).- మీరు www.exploit-db.com ను కూడా ప్రయత్నించవచ్చు. వారి వెబ్సైట్కి వెళ్లి లింక్పై క్లిక్ చేయండి శోధన, ఆపై మీరు హ్యాక్ చేయదలిచిన డేటాబేస్ రకం కోసం శోధించండి (ఉదా. ఒరాకిల్). కాప్చా కోడ్ను తగిన ఫీల్డ్లో టైప్ చేసి, శోధించండి.
- సమస్య ఉంటే ఏమి చేయాలో తెలుసుకోవడానికి మీరు ఉపయోగించాలనుకుంటున్న ప్రోగ్రామ్లను పరిశోధించండి.
-
దీనితో హాని కలిగించే నెట్వర్క్ను కనుగొనండి wardriving . రక్షణ లేకుండా ఒకదాన్ని కనుగొనడానికి ఒక సాధనంతో (నెట్స్టంబ్లర్ లేదా కిస్మెట్ వంటివి) వైఫై నెట్వర్క్లను స్కాన్ చేయడానికి ఒక ప్రాంతంలో డ్రైవింగ్ (లేదా నడక లేదా సైక్లింగ్) వార్డ్రైవింగ్లో ఉంటుంది. సాంకేతికంగా, ఇది పూర్తిగా చట్టబద్ధమైనది. చట్టవిరుద్ధం ఏమిటంటే మీరు కనుగొన్న నెట్వర్క్ను చట్టవిరుద్ధ ప్రయోజనాల కోసం ఉపయోగించడం. -
మీ హ్యాకింగ్ కోసం ఈ నెట్వర్క్ను ఉపయోగించండి. మీరు నిజంగా చేయకూడని పనిని చేయాలనుకుంటే, మీది కాని నెట్వర్క్ నుండి చేస్తే మంచిది. వార్డ్రైవింగ్ ద్వారా మీరు కనుగొన్న ఓపెన్ నెట్వర్క్కు కనెక్ట్ అవ్వండి మరియు మీరు డౌన్లోడ్ చేసిన హ్యాకింగ్ సాఫ్ట్వేర్ను ఉపయోగించండి.
- సున్నితమైన డేటాను ఫైర్వాల్ వెనుక ఎల్లప్పుడూ ఉంచండి.
- మీ వైర్లెస్ నెట్వర్క్లను పాస్వర్డ్తో రక్షించుకున్నారని నిర్ధారించుకోండి, తద్వారా మీరు మీదే హ్యాకింగ్ కోసం ఉపయోగించలేరు.
- ఇతర హ్యాకర్లను కనుగొని చిట్కాల కోసం వారిని అడగండి. కొన్నిసార్లు, ఉత్తమ ఫోనింగ్ పద్ధతులు ఇంటర్నెట్ ఫోరమ్లలో కనిపించవు.
- మీ దేశంలో చట్టం మరియు మీ చర్యల యొక్క పరిణామాలను అర్థం చేసుకోండి.
- మీ స్వంత నెట్వర్క్ నుండి యంత్రానికి అక్రమ ప్రాప్యతను పొందడానికి ఎప్పుడూ ప్రయత్నించవద్దు.
- మీది కాని డేటాబేస్కు ప్రాప్యత కలిగి ఉండటం చట్టవిరుద్ధం.