黑客攻破SQL服务器系统的方法

安全 黑客攻防
以下的文章主要是阐述黑客攻破SQL服务器系统的正确操作方法,其中包括安全漏洞扫描,列举SQL服务器解析服务等内容的讲述。

以下的文章主要描述的是黑客攻破SQL服务器系统的正确操作方法,无论是使用手工试探还是安全测试工具,攻击者总是使用各种手段从你的防火墙内部与外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。

无论是使用手工试探还是使用安全测试工具,恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。

 

黑客攻破SQL服务器系统的方法1.通过互联网直接连接

这些连接可以用来攻击没有防火墙保护、全世界都可以看到和访问的SQL服务器。DShield公司的端口报告显示了有多少系统在那里等待遭受攻击。我不理解允许从互联网直接访问这种重要的服务器的理由是什么。但是,我在我的评估中仍发现了这种安全漏洞。我们都记得SQL Slammer蠕虫对那样多的有漏洞的SQL服务器系统造成的影响。而且,这些直接的攻击能够导致拒绝服务攻击、缓存溢出和其它攻击。

黑客攻破SQL服务器系统的方法2.安全漏洞扫描

安全漏洞扫描通常可以基本的操作系统、网络应用程序或者数据库系统本身的弱点。从没有使用SQL安全补丁、互联网信息服务(IIS)设置弱点到SNMP(简单网络管理协议)漏洞等任何事情都能够被攻击者发现,并且导致数据库被攻破。这些坏蛋也需使用开源软件、自己制作的工具软件或者商业性工具软件。有些技术高手甚至能够在命令提示符下实施手工黑客攻击。为了节省时间,我建议使用商业性的安全漏洞评估工具,如Qualys公司的QualysGuard(用于普通扫描)、SPI Dynamics公司的WebInspect(用于网络应用程序扫描)和下一代安全软件公司的“NGSSquirrel for SQL Server”(用于数据库扫描)。这些工具软件很容易使用,提供了最广泛的评估,并且可以提供最佳的结果。

 黑客攻破SQL服务器系统的方法 

图1:使用WebInspect发现的普通SQL注入安全漏洞。

黑客攻破SQL服务器系统的方法3.列举SQL服务器解析服务

在UDP端口1434上运行,这能让你发现隐蔽的数据库实例和更深入地探查这个系统。Chip Andrews的“SQLPing v 2.5”是一个极好的工具,可用来查看SQL服务器系统并且确定版本编号。你的数据库实例即使不监听这个默认的端口,这个工具软件也能发挥作用。此外,当过分长的SQL服务器请求发送到UDP端口1434的广播地址的时候,会出现缓存溢出问题。

黑客攻破SQL服务器系统的方法4.破解SA口令

攻击者还可以通过破解SA口令的方法进入SQL服务器数据库。遗憾的是,在许多情况下不需要破解口令,因为没有分配口令。因此,可以使用上面提到的一种小工具SQLPing。Application安全公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。

 

责任编辑:佚名 来源: zdnet
相关推荐

2011-07-05 10:48:54

2009-05-31 15:16:18

2014-03-12 09:19:49

2009-10-09 10:46:17

2010-09-08 15:14:36

2013-10-21 14:26:04

2010-10-22 14:50:27

SQL server服

2010-10-19 10:45:10

sql server服

2010-11-08 17:13:21

SQL Server跨

2011-03-04 12:33:16

2023-04-20 18:32:11

2010-09-08 14:37:08

SQL server安装

2011-01-14 16:25:59

Linux服务器集群系统

2010-04-02 09:49:40

2011-07-28 14:27:51

2011-01-10 10:28:07

2009-10-14 10:16:45

2011-05-03 09:12:25

2009-03-30 14:32:15

LinuxNetware服务器

2009-09-08 15:06:45

NFS服务器
点赞
收藏

51CTO技术栈公众号