தரவுத்தளத்தை எவ்வாறு ஹேக் செய்வது
நூலாசிரியர்:
Judy Howell
உருவாக்கிய தேதி:
26 ஜூலை 2021
புதுப்பிப்பு தேதி:
23 ஜூன் 2024
![SQL ஊசி - பயனர்கள் நிறைந்த தரவுத்தளத்தை ஹேக்கிங் #linux #hacking](https://i.ytimg.com/vi/GF4RVXtFeso/hqdefault.jpg)
உள்ளடக்கம்
- நிலைகளில்
- முறை 1 ஒரு SQL ஊசி பயன்படுத்தவும்
- முறை 2 தரவுத்தளத்தின் கடவுச்சொல்லை ஹேக் செய்யுங்கள்
- முறை 3 தரவுத்தளங்களில் ஓட்டைகளைப் பயன்படுத்துங்கள்
உங்கள் தரவுத்தளம் ஹேக்கர்களிடமிருந்து பாதுகாக்கப்படுவதை உறுதி செய்வதற்கான சிறந்த வழி ஹேக்கரைப் போல சிந்திக்க வேண்டும். நீங்கள் ஒருவராக இருந்தால், எந்த வகையான தகவலைக் கண்டுபிடிக்க விரும்புகிறீர்கள்? அவற்றை எவ்வாறு கண்டுபிடிப்பீர்கள்? பல வகையான தரவுத்தளங்கள் மற்றும் அவற்றை ஹேக் செய்ய பல்வேறு வழிகள் உள்ளன, ஆனால் பெரும்பாலான ஹேக்கர்கள் கடவுச்சொல்லைக் கண்டுபிடிக்க முயற்சிப்பார்கள் அல்லது தரவுத்தளத்தின் பலவீனமான புள்ளியை சுரண்டும் ஒரு நிரலைத் தொடங்குவார்கள். நீங்கள் SQL அறிக்கைகளுடன் வசதியாக இருந்தால், தரவுத்தளங்கள் எவ்வாறு செயல்படுகின்றன என்பதற்கான அடிப்படை அறிவு இருந்தால், நீங்கள் ஒன்றை ஹேக் செய்ய முடியும்.
நிலைகளில்
முறை 1 ஒரு SQL ஊசி பயன்படுத்தவும்
- தரவுத்தளம் பாதிக்கப்படக்கூடியதா என்று உங்களை நீங்களே கேட்டுக்கொள்ளுங்கள். இந்த முறையைப் பயன்படுத்த உங்களுக்கு சில வரி அறிவு இருக்க வேண்டும். உங்கள் உலாவியில் தரவுத்தள உள்நுழைவு பக்கத்தைத் திறந்து தட்டச்சு செய்க (ஒரு அப்போஸ்ட்ரோபி) பயனர் பெயருக்கான புலத்தில். கிளிக் செய்யவும் Senregistrer. "SQL விதிவிலக்கு: மேற்கோள் செய்யப்பட்ட சரம் சரியாக நிறுத்தப்படவில்லை" அல்லது "தவறான எழுத்து" என்று ஒரு பிழையைக் கண்டால், தரவுத்தளம் SQL ஊசிக்கு பாதிக்கப்படக்கூடியது.
-
நெடுவரிசைகளின் எண்ணிக்கையைக் கண்டறியவும். உள்நுழைவு பக்கத்திற்குத் திரும்புக (அல்லது "ஐடி =" அல்லது "கேடிட் =" என்று முடிவடையும் எந்த URL) மற்றும் உலாவியின் முகவரி பட்டியில் சொடுக்கவும். URL க்குப் பிறகு, ஸ்பேஸ்பாரை அழுத்தி தட்டச்சு செய்க1 ஆல் ஆர்டர்
, பின்னர் தட்டவும் நுழைவு. 1 ஐ 2 ஆக மாற்றி மீண்டும் அழுத்தவும் நுழைவு. பிழை வரும் வரை இந்த எண்ணை அதிகரிப்பதைத் தொடரவும். நெடுவரிசைகளின் எண்ணிக்கை பிழையை ஏற்படுத்தியதற்கு முன்பு நீங்கள் உள்ளிட்ட எண். -
வினவல்களை ஏற்றுக்கொள்ளும் நெடுவரிசைகளைக் கண்டறியவும். முகவரி பட்டியில் உள்ள URL இன் இறுதியில், மாற்றவும்catid = 1
அல்லதுஐடி = 1
மற்றும் போடுcatid = -1
அல்லதுஐடி = -1
. ஸ்பேஸ் பட்டியை அழுத்தி தட்டச்சு செய்கUNION 1,2,3,4,5,6 ஐத் தேர்ந்தெடுக்கவும்
(ஆறு நெடுவரிசைகள் இருந்தால்) நீங்கள் அங்கு வைத்திருக்கும் எண்கள் நெடுவரிசைகளின் எண்ணிக்கையுடன் பொருந்த வேண்டும், ஒவ்வொன்றும் கமாவால் மற்றவர்களிடமிருந்து பிரிக்கப்பட வேண்டும். பிரஸ் நுழைவு ஒவ்வொரு நெடுவரிசையின் எண்களையும் நீங்கள் காண்பீர்கள், அவை வினவலை ஏற்கும். -
SQL அறிக்கைகளை செலுத்துங்கள். எடுத்துக்காட்டாக, நீங்கள் தற்போதைய பயனரை அறிய விரும்பினால், இரண்டாவது நெடுவரிசையில் ஊசி போட விரும்பினால், ஸ்பேஸ்பாரை அழுத்துவதற்கு முன்பு URL இல் "ஐடி = 1" க்குப் பிறகு எல்லாவற்றையும் அழிக்க வேண்டும். பின்னர், தட்டச்சு செய்கUNION SELECT 1, CONCAT (பயனர் ()), 3,4,5,6--
. பிரஸ் நுழைவு தற்போதைய பயனரின் பெயரை நீங்கள் திரையில் காண்பீர்கள். ஹேக் செய்ய பயனர்பெயர்கள் மற்றும் கடவுச்சொற்கள் போன்ற தகவல்களைக் காட்ட எந்த SQL அறிக்கையையும் பயன்படுத்தவும்.
முறை 2 தரவுத்தளத்தின் கடவுச்சொல்லை ஹேக் செய்யுங்கள்
-
ரூட்டை இணைக்க முயற்சிக்கவும். சில தரவுத்தளங்களில் இயல்புநிலை ரூட்டில் கடவுச்சொல் இல்லை, எனவே கடவுச்சொல் புலத்தை காலியாக விட்டுவிட்டு அதை அணுகலாம். மற்றவர்களுக்கு இயல்புநிலை கடவுச்சொற்கள் உள்ளன, அவை பொருத்தமான மன்றங்களில் தேடுவதன் மூலம் நீங்கள் எளிதாகக் காணலாம். -
பொதுவான கடவுச்சொற்களை முயற்சிக்கவும். நிர்வாகி ஒரு கடவுச்சொல்லுடன் தரவுத்தளத்தைப் பாதுகாத்திருந்தால் (இது வழக்கமாக இருக்கும்), பயனர்பெயர் மற்றும் கடவுச்சொல்லின் கலவையை முயற்சிக்கவும். சில ஹேக்கர்கள் சரிபார்ப்புக் கருவிகளைப் பயன்படுத்தி விரிசல் அடைந்த ஆன்லைன் கடவுச்சொல் பட்டியல்களை இடுகிறார்கள். பயனர்பெயர்கள் மற்றும் கடவுச்சொற்களின் வெவ்வேறு சேர்க்கைகளை முயற்சிக்கவும்.- எடுத்துக்காட்டாக, https://github.com/danielmiessler/SecLists/tree/master/Passwords என்பது அங்கீகரிக்கப்பட்ட தளமாகும், அங்கு நீங்கள் கடவுச்சொற்களின் பட்டியலைக் காண்பீர்கள்.
- உங்கள் கையில் கடவுச்சொற்களை முயற்சிப்பதில் நீங்கள் சிறிது நேரம் இழப்பீர்கள், ஆனால் நீங்கள் கனரக பீரங்கிகளை வெளியே செல்வதற்கு முன் முயற்சி செய்வது மதிப்பு.
-
கடவுச்சொல் சரிபார்ப்பு கருவியைப் பயன்படுத்தவும். ஒரு அகராதியில் உள்ள ஆயிரக்கணக்கான சொற்களின் சேர்க்கைகளையும் கடவுச்சொல்லை சிதைக்க கடிதங்கள், எண்கள் அல்லது சின்னங்களையும் முயற்சிக்க நீங்கள் பல கருவிகளைப் பயன்படுத்தலாம்.- DBPwAudit (ஆரக்கிள், MySQL, MS-SQL மற்றும் DB2 க்கு) மற்றும் அணுகல் கடவுச்சொல் (MS அணுகலுக்காக) போன்ற சில கருவிகள் நீங்கள் பெரும்பாலான தரவுத்தளங்களில் பயன்படுத்தக்கூடிய நன்கு அறியப்பட்ட கருவிகள். நீங்கள் விரும்பும் தரவுத்தளத்திற்காக குறிப்பாக வடிவமைக்கப்பட்ட புதிய கருவிகளைக் கண்டுபிடிக்க கூகிளிலும் தேடலாம். உதாரணமாக, நீங்கள் தேடலாம்
கடவுச்சொல் தணிக்கை கருவி ஆரக்கிள் டி.பி.
நீங்கள் ஆரக்கிள் தரவுத்தளத்தை ஹேக் செய்தால். - தரவுத்தளத்தை ஹோஸ்ட் செய்யும் சேவையகத்தில் உங்களிடம் கணக்கு இருந்தால், கடவுச்சொல் ஹேக்கிங் மென்பொருளை இயக்கலாம் ஜான் தி ரிப்பர் அதை கண்டுபிடிக்க. தரவுத்தளத்தைப் பொறுத்து ஹாஷ் கோப்பின் இடம் வேறுபட்டது.
- நீங்கள் நம்பும் தளங்களிலிருந்து மென்பொருளை மட்டுமே பதிவிறக்கவும். இந்த கருவிகளைப் பயன்படுத்துவதற்கு முன்பு அவற்றை ஆராய்ச்சி செய்யுங்கள்.
- DBPwAudit (ஆரக்கிள், MySQL, MS-SQL மற்றும் DB2 க்கு) மற்றும் அணுகல் கடவுச்சொல் (MS அணுகலுக்காக) போன்ற சில கருவிகள் நீங்கள் பெரும்பாலான தரவுத்தளங்களில் பயன்படுத்தக்கூடிய நன்கு அறியப்பட்ட கருவிகள். நீங்கள் விரும்பும் தரவுத்தளத்திற்காக குறிப்பாக வடிவமைக்கப்பட்ட புதிய கருவிகளைக் கண்டுபிடிக்க கூகிளிலும் தேடலாம். உதாரணமாக, நீங்கள் தேடலாம்
முறை 3 தரவுத்தளங்களில் ஓட்டைகளைப் பயன்படுத்துங்கள்
-
பொருத்தமான நிரலைக் கண்டறியவும். Sectools.org என்பது பாதுகாப்பு கருவிகளின் தொகுப்பாகும் (இப்போது உங்களுக்கு விருப்பமானவை உட்பட) இது பத்து ஆண்டுகளுக்கும் மேலாக உள்ளது. அவற்றின் கருவிகள் உலகெங்கிலும் உள்ள நிர்வாகிகளால் அங்கீகரிக்கப்பட்டு பாதுகாப்பு சோதனை செய்ய பயன்படுத்தப்படுகின்றன. தரவுத்தளங்களில் பாதுகாப்பு மீறல்களைக் கண்டறிய உதவும் கருவிகள் அல்லது கோப்புகளுக்காக அவற்றின் இயக்க தரவுத்தளத்தை சரிபார்க்கவும் (அல்லது நீங்கள் நம்பும் ஒத்த தளத்தைக் கண்டறியவும்).- நீங்கள் www.exploit-db.com ஐயும் முயற்சி செய்யலாம். அவர்களின் வலைத்தளத்திற்குச் சென்று இணைப்பைக் கிளிக் செய்க தேடல், பின்னர் நீங்கள் ஹேக் செய்ய விரும்பும் தரவுத்தள வகையைத் தேடுங்கள் (எ.கா. ஆரக்கிள்). கேப்ட்சா குறியீட்டை பொருத்தமான புலத்தில் தட்டச்சு செய்து தேடல் செய்யுங்கள்.
- சிக்கல் ஏற்பட்டால் என்ன செய்ய வேண்டும் என்பதை அறிய நீங்கள் பயன்படுத்த விரும்பும் நிரல்களை ஆராய்ச்சி செய்யுங்கள்.
-
உடன் பாதிக்கப்படக்கூடிய பிணையத்தைக் கண்டறியவும் wardriving . பாதுகாப்பு இல்லாமல் ஒன்றைக் கண்டுபிடிக்க ஒரு கருவி (நெட்ஸ்டம்ளர் அல்லது கிஸ்மெட் போன்றவை) மூலம் வைஃபை நெட்வொர்க்குகளை ஸ்கேன் செய்ய ஒரு பகுதியில் வாகனம் ஓட்டுதல் (அல்லது நடைபயிற்சி அல்லது சைக்கிள் ஓட்டுதல்) கொண்டுள்ளது. தொழில்நுட்ப ரீதியாக, இது முற்றிலும் சட்டபூர்வமானது. சட்டப்பூர்வமற்றது என்னவென்றால், நீங்கள் கண்டறிந்த பிணையத்தை சட்டவிரோத நோக்கங்களுக்காகப் பயன்படுத்துவது. -
உங்கள் ஹேக்கிங்கிற்கு இந்த பிணையத்தைப் பயன்படுத்தவும். நீங்கள் உண்மையில் செய்ய விரும்பாத ஒன்றை நீங்கள் செய்ய விரும்பினால், உங்களுடையதல்லாத பிணையத்திலிருந்து அதைச் செய்தால் நல்லது. வார்டிரைவிங் மூலம் நீங்கள் கண்டறிந்த திறந்த நெட்வொர்க்குடன் இணைக்கவும், நீங்கள் பதிவிறக்கிய ஹேக்கிங் மென்பொருளைப் பயன்படுத்தவும்.
- ஃபயர்வாலின் பின்னால் எப்போதும் முக்கியமான தரவை வைத்திருங்கள்.
- உங்கள் வயர்லெஸ் நெட்வொர்க்குகளை கடவுச்சொல் மூலம் பாதுகாப்பதை உறுதிசெய்து கொள்ளுங்கள், இதன்மூலம் ஹேக்கிங்கிற்கு உங்களைப் பயன்படுத்த முடியாது.
- பிற ஹேக்கர்களைக் கண்டுபிடித்து உதவிக்குறிப்புகளைக் கேளுங்கள். சில நேரங்களில், சிறந்த ஹேக்கிங் நுட்பங்கள் இணைய மன்றங்களில் காணப்படவில்லை.
- உங்கள் நாட்டில் உங்கள் செயல்களின் சட்டத்தையும் அதன் விளைவுகளையும் புரிந்து கொள்ளுங்கள்.
- உங்கள் சொந்த நெட்வொர்க்கிலிருந்து ஒரு இயந்திரத்திற்கு சட்டவிரோத அணுகலைப் பெற ஒருபோதும் முயற்சிக்க வேண்டாம்.
- உங்களுடையதல்லாத தரவுத்தளத்தை அணுகுவது சட்டவிரோதமானது.