Inhoudsopgave:
- Hulpmiddelen voor het detecteren van risico's van database-hacking
- Zoek naar databases op het netwerk
- Crack-database-wachtwoorden
- Databases scannen op kwetsbaarheden
Video: 884-1 Global Warming: Yes, There Is a Solution!, Multi-subtitles 2024
hebben databasesystemen, zoals Microsoft SQL Server, MySQL en Oracle, een kijkje genomen achter de schermen, maar hun waarde en hun kwetsbaarheden zijn eindelijk op de voorgrond verschenen. Ja, zelfs het machtige Orakel waarvan eens werd beweerd dat het ongeschonden was, is vatbaar voor soortgelijke prestaties als zijn concurrentie. Met de enorme hoeveelheid wettelijke vereisten voor databaseveiligheid kunnen nauwelijks bedrijven zich verbergen voor de risico's die er liggen.
Hulpmiddelen voor het detecteren van risico's van database-hacking
Net als voor draadloos, besturingssystemen, enzovoort, hebt u goede hulpmiddelen nodig als u de beveiligingsproblemen met de database wilt vinden. Hierna volgen enkele hulpmiddelen voor het testen van databasebeveiliging:
-
Geavanceerde SQL-wachtwoordherstel voor het kraken van Microsoft SQL Server-wachtwoorden
-
Cain en Abel voor het kraken van wachtwoordhashes voor databases
-
QualysGuard voor het uitvoeren van diepgaande kwetsbaarheidsscans
-
SQLPing3 voor het lokaliseren van Microsoft SQL-servers op het netwerk, controleren op lege sa (de standaard SQL Server-systeembeheerdersaccount) -wachtwoorden, en het uitvoeren van woordenboek-kraken met wachtwoorden
U kunt ook exploit-tools, zoals Metasploit, gebruiken voor het testen van uw database.
Zoek naar databases op het netwerk
De eerste stap bij het ontdekken van databasekwetsbaarheden is te achterhalen waar ze zich in uw netwerk bevinden. Het klinkt grappig, maar veel netwerkbeheerders zijn zich niet eens bewust van verschillende databases die in hun omgeving worden uitgevoerd. Dit geldt met name voor de gratis SQL Server Express-databasesoftware die iedereen op een werkstation of testsysteem kan downloaden en uitvoeren.
Het gebruik van gevoelige gegevens in de ongecontroleerde ontwikkelingsgebieden en kwaliteitsborging (QA) is een data-inbreuk die moet gebeuren.
De beste tool om Microsoft SQL Server-systemen te ontdekken, is SQLPing3.
SQLPing3 kan exemplaren van SQL Server vinden verborgen achter persoonlijke firewalls en meer - een functie die voorheen alleen beschikbaar was in SQLPack2's zuster-applicatie SQLRecon.
Als u Oracle in uw omgeving hebt, heeft Pete Finnigan een geweldige lijst met op Oracle gebaseerde beveiligingshulpmiddelen op www. petefinnigan. com / gereedschappen. htm die functies kan uitvoeren die vergelijkbaar zijn met SQLPing3.
Crack-database-wachtwoorden
SQLPing3 dient ook als een leuk op woordenboeken gebaseerd programma voor het kraken van SQL Server-programma's. Het controleert standaard op lege sa-wachtwoorden. Een andere gratis tool voor het kraken van SQL Server-, MySQL- en Oracle-wachtwoordhashes is Cain & Abel.
Het commerciële product Elcomsoft Distributed Password Recovery kan ook de hashes van Oracle-wachtwoord kraken.
Als u toegang hebt tot SQL Server-master. MDF-bestanden kunt u Elcomsoft's Advanced SQL Password Recovery gebruiken om databasewachtwoorden onmiddellijk te herstellen.
U kunt struikelen over enkele oudere Microsoft Access-databasebestanden die ook met een wachtwoord zijn beveiligd. Geen zorgen: met het hulpprogramma Advanced Office Password Recovery kunt u meteen aan de slag.
Zoals u zich kunt voorstellen, zijn deze hulpprogramma's voor het kraken van wachtwoorden een uitstekende manier om de meest elementaire zwakheden in uw databasebeveiliging aan te tonen. Een van de beste manieren om te bewijzen dat er een probleem is, is om Microsoft SQL Server 2008 Management Studio Express te gebruiken om verbinding te maken met de databasesystemen waar u nu de wachtwoorden voor hebt en back-upaccounts in te stellen of rond te bladeren om te zien wat er beschikbaar is.
In vrijwel elk onbeveiligd SQL Server-systeem is er gevoelige persoonlijke financiële of medische informatie beschikbaar om te gebruiken.
Databases scannen op kwetsbaarheden
Net als voor besturingssystemen en webtoepassingen, kunnen sommige databasespecifieke kwetsbaarheden alleen worden uitgeroeid door de juiste hulpmiddelen te gebruiken. U kunt QualysGuard gebruiken om problemen te vinden als
-
Buffer overflows
-
Privilege escalaties
-
Wachtwoord hashes toegankelijk via standaard / onbeveiligde accounts
-
Zwakke verificatiemethoden ingeschakeld
-
Database listener logbestanden die zonder authenticatie kunnen worden hernoemd
Een geweldige alles-in-één scanner voor het beveiligen van commerciële databases voor het uitvoeren van grondige databasecontroles - inclusief audits van gebruikersrechten op SQL Server, Oracle, enzovoort - is AppDetectivePro. AppDetectivePro kan een goede aanvulling zijn op het arsenaal van uw veiligheidstesttool als u de investering kunt rechtvaardigen.
Veel kwetsbaarheden kunnen worden getest vanuit zowel een niet-geverifieerd perspectief van de buitenstaander als vanuit het perspectief van een vertrouwde insider. U kunt bijvoorbeeld het SYSTEM-account voor Oracle gebruiken om in te loggen, op te sommen en het systeem te scannen (iets dat QualysGuard ondersteunt).