Wie man Datenbank-Schwachstellen minimieren: Vermeiden Sie Hacked
Datenbanksysteme, wie Microsoft SQL Server, MySQL und Oracle haben hinter den Kulissen lauerte, aber ihr Wert und ihre Schwachstellen wurden in den Vordergrund endlich kommen. Ja, selbst der mächtige Oracle, die einmal in Anspruch genommen wurde unhackable zu sein, ist anfällig für ähnliche Exploits wie die Konkurrenz. Mit der Reihe von regulatorischen Anforderungen der Datenbanksicherheit regeln, kaum ein Unternehmen vor den Risiken ausblenden, die innerhalb liegen.
Menu
Tools-Datenbank Hacking Risiken zu erkennen
Wie bei drahtlosen, Betriebssysteme, und so weiter, müssen Sie gute Werkzeuge, wenn Sie gehen, um die Datenbank Sicherheitsprobleme zu finden, die zählen. Nachfolgend sind einige der Tools für die Sicherheitstests Datenbank:
Erweiterte SQL Password Recovery zum Cracken von Microsoft SQL Server-Kennwörter
Kain Abel für das Knacken Datenbank Passwort-Hashes
QualysGuard in-Tiefe Schwachstellen-Scans für die Durchführung
SQLPing3 Microsoft SQL-Server im Netzwerk zur Ortung, für leere sa Überprüfung (der Standard-SQL-Server-System-Administrator-Konto) Kennwörter und Durchführung Wörterbuch zum Knacken von Kennwörtern Angriffe
Sie können auch Tools wie Metasploit, für die Datenbank-Tests verwenden zu nutzen.
Finden Datenbanken im Netzwerk
Der erste Schritt Datenbank Schwachstellen bei der Entdeckung ist, um herauszufinden, wo sie in Ihrem Netzwerk sich befinden. Es klingt komisch, aber viele Netzwerk-Administratoren sind nicht einmal bewusst, verschiedene Datenbanken in ihren Umgebungen. Dies gilt insbesondere für die kostenlose SQL Server Express-Datenbank-Software, die jeder kann auf einer Workstation oder Testsystem herunterladen und ausführen.
Unter Verwendung sensibler Daten in den unkontrollierten Bereichen Entwicklung und Qualitätssicherung (QA) ist eine Datenschutzverletzung warten geschehen.
Das beste Werkzeug, Microsoft SQL Server-Systemen zu entdecken, ist SQLPing3.
ein Merkmal früher nur in SQLPing2 Schwester Anwendung SQLRecon - SQLPing3 hinter Personal Firewalls und mehr versteckt Instanzen von SQL Server zu entdecken.
Wenn Sie Oracle in Ihrer Umgebung haben, hat Pete Finnigan eine große Liste von Oracle-centric Sicherheits-Tools auf petefinnigan.com/tools.htm das kann ähnliche Funktionen wie SQLPing3 auszuführen.
Knacken Sie Datenbank-Passwörter
SQLPing3 dient auch als ein schönes Wörterbuch-basierten SQL Server Passwort-Knackprogramm. Es prüft, ob leere sa Passwörter standardmäßig. Ein weiteres kostenloses Tool zum Knacken von SQL Server, MySQL und Oracle-Passwort-Hashes ist Cain Abel.
Das Handelsprodukt Elcomsoft Distributed Password Recovery können auch Oracle-Passwort-Hashes knacken.
Wenn Sie den Zugriff auf SQL Server haben master.mdf Dateien können Sie verwenden Elcomsoft Advanced SQL Password Recovery Datenbank-Passwörter sofort zu erholen.
Sie könnten über einige ältere Microsoft Access-Datenbank-Dateien stolpern, das Passwort als auch geschützt sind. Keine Sorge: Das Werkzeug Advanced Office Password Recovery Sie können direkt zu bekommen.
Wie Sie sich vorstellen können, diese Passwort-Cracking-Tools sind eine gute Möglichkeit, die grundlegendsten Schwächen in Ihrer Datenbank-Sicherheit zu demonstrieren. Eine der besten Möglichkeiten, um zu beweisen zu gehen, dass es ein Problem gibt zu bedienen Microsoft SQL Server 2008 Management Studio Express zu verbinden, um die Datenbanksysteme haben Sie nun die Passwörter für und einrichten Backdoor-Konten sehen, um zu sehen, was verfügbar ist.
In praktisch jedem System ungeschützt SQL Server, gibt es sensible persönliche Finanz- oder Gesundheitsinformationen für die Aufnahme zur Verfügung.
Scan-Datenbanken für Schwachstellen
Wie bei den Betriebssystemen und Web-Anwendungen können einige Datenbank-spezifische Schwachstellen nur durch den Einsatz der richtigen Werkzeuge ausgemerzt werden. Sie können QualysGuard verwenden solche Fragen zu finden, wie
Pufferüberläufe
Privilege Eskalationen
Passwort-Hashes zugänglich durch default / ungeschützten Konten
Schwache Authentifizierungsmethoden aktiviert
Datenbank-Listener-Log-Dateien, die ohne Authentifizierung können umbenannt werden
Ein großer all-in-one kommerziellen Datenbank-Schwachstellen-Scanner für Datenbank prüft in eingehenden Durchführung - einschließlich Prüfungen Benutzerrechte auf SQL Server, Oracle, und so weiter - ist AppDetectivePro. AppDetectivePro kann eine gute Ergänzung zu Ihrer Sicherheit Test-Tool-Arsenal sein, wenn Sie die Investition rechtfertigen.
Viele Schwachstellen können sowohl ein nicht authentifizierter Außenperspektive sowie eine vertrauenswürdige Insider-Perspektive zu prüfen. Zum Beispiel können Sie das Systemkonto für Oracle verwenden, um sich anmelden, aufzuzählen, und scannen Sie das System (etwas, das QualysGuard unterstützt).