차례:
- 무선, 운영 체제 등과 마찬가지로 데이터베이스 보안 문제를 찾아야하는 경우 좋은 도구가 필요합니다. 다음은 데이터베이스 보안을 테스트하기위한 몇 가지 도구입니다.
- SQLPing3은 사전 기반의 SQL Server 암호 해독 프로그램이기도합니다. 기본적으로 빈 sa 암호를 확인합니다. SQL Server, MySQL 및 Oracle 암호 해시를 크랙하기위한 또 다른 무료 도구는 Cain & Abel입니다.
- 운영 체제 및 웹 응용 프로그램과 마찬가지로 일부 데이터베이스 관련 취약점은 올바른 도구를 사용해야 만 해결할 수 있습니다. QualysGuard를 사용하여
비디오: 정보화시대!피할수없는 사이버공격!새로운방식의페러다임! 2024
Microsoft SQL Server, MySQL 및 Oracle과 같은 데이터베이스 시스템은 배후에 숨어 있지만 그 가치와 취약점은 마침내 최전방에 왔습니다. 그렇습니다. 한때 unhackable이라고 주장 된 강력한 오라클조차도 경쟁사와 유사한 공격에 취약합니다. 데이터베이스 보안을 관리하는 규제 요구 사항이 많아서 어떤 비즈니스도 그 안에 놓여있는 위험으로부터 숨길 수는 없습니다.
무선, 운영 체제 등과 마찬가지로 데이터베이스 보안 문제를 찾아야하는 경우 좋은 도구가 필요합니다. 다음은 데이터베이스 보안을 테스트하기위한 몇 가지 도구입니다.
Microsoft SQL Server 암호를 해독하기위한
-
고급 SQL 암호 복구 데이터베이스 암호 해시 크래킹에 대한 Cain & Abel
-
SQLPing3
-
- QualysGuard
-
사전 암호 해독 공격 수행 데이터베이스 테스트를 위해 Metasploit과 같은 악용 도구를 사용할 수도 있습니다.
네트워크에서 데이터베이스 찾기
통제되지 않은 개발 및 품질 보증 (QA) 분야에서 민감한 데이터를 사용하는 것은 일어날 수있는 데이터 유출입니다.
Microsoft SQL Server 시스템을 검색하는 가장 좋은 도구는 SQLPing3입니다.
SQLPing3은 이전에는 SQLPing2의 자매 애플리케이션 인 SQLRecon에서만 사용할 수 있었던 개인 방화벽과 그 이상으로 숨겨진 SQL Server 인스턴스를 발견 할 수 있습니다.
환경에 오라클이 있다면 Pete Finnigan은 www가있는 오라클 중심의 보안 도구 목록을 제공합니다. petefinnigan. co.kr / tools. htm은 SQLPing3과 유사한 기능을 수행 할 수 있습니다.
데이터베이스 비밀번호 균열
SQLPing3은 사전 기반의 SQL Server 암호 해독 프로그램이기도합니다. 기본적으로 빈 sa 암호를 확인합니다. SQL Server, MySQL 및 Oracle 암호 해시를 크랙하기위한 또 다른 무료 도구는 Cain & Abel입니다.
상업용 Elcomsoft 분산 암호 복구 제품은 오라클 암호 해시를 해독 할 수도 있습니다.
SQL Server 마스터에 액세스 할 수있는 경우. mdf 파일을 사용하면 Elcomsoft의 고급 SQL 암호 복구를 사용하여 데이터베이스 암호를 즉시 복구 할 수 있습니다.
암호로 보호 된 기존 Access 데이터베이스 파일을 우연히 발견 할 수도 있습니다. 걱정할 필요가 없습니다. Advanced Office Password Recovery 도구를 사용하면 바로 들어갈 수 있습니다.
상상할 수있는 것처럼 암호 해독 도구는 데이터베이스 보안의 가장 근본적인 약점을 보여줄 수있는 좋은 방법입니다. 문제가 있음을 입증하는 가장 좋은 방법 중 하나는 Microsoft SQL Server 2008 Management Studio Express를 사용하여 현재 암호가있는 데이터베이스 시스템에 연결하고 백도어 계정을 설정하거나 사용 가능한 항목을 탐색하는 것입니다.
실질적으로 보호되지 않는 모든 SQL Server 시스템에는 민감한 개인 재무 정보 또는 건강 관리 정보가 있습니다.
데이터베이스의 취약점 검색
운영 체제 및 웹 응용 프로그램과 마찬가지로 일부 데이터베이스 관련 취약점은 올바른 도구를 사용해야 만 해결할 수 있습니다. QualysGuard를 사용하여
버퍼 오버플로
-
권한 에스컬레이션
-
기본 / 비보호 계정을 통해 액세스 할 수있는 암호 해시
-
약한 인증 방법 사용
-
인증없이 이름을 바꿀 수있는 데이터베이스 수신기 로그 파일
-
SQL Server, Oracle 등의 사용자 권한 감사를 비롯하여 심층적 인 데이터베이스 검사를 수행하는 올인원 (all-in-one) 상업용 데이터베이스 취약점 스캐너는 AppDetectivePro입니다. AppDetectivePro는 투자를 정당화 할 수 있다면 보안 테스트 도구에 추가 될 수 있습니다.
신뢰할 수없는 내부자의 관점뿐만 아니라 인증되지 않은 외부인의 관점에서 많은 취약점을 테스트 할 수 있습니다. 예를 들어, Oracle 용 SYSTEM 계정을 사용하여 시스템에 로그인하고 열거하고 검사 할 수 있습니다 (QualysGuard가 지원하는 항목).
