Olipa kautta manuaalinen poking ja prodding tai käytön turvallisuuden testaus työkaluja, ilkeä hyökkääjät käyttää erilaisia temppuja murtautua SQL Server -järjestelmiä, ja sen ulkopuolella palomuurin. On järkeenkäypää sitten, jos hakkerit tekevät sen, sinun täytyy tehdä sama iskut testata turvallisuus vahvuus järjestelmien. Tässä on 10 hakkeri temppuja päästä ja rikkovat järjestelmät SQL Server. 1. Suorat yhteydet Internetin kautta Näitä yhteyksiä voidaan liittää SQL-palvelimet istuu alasti ilman palomuuri koko maailman nähtäväksi (ja pääsy).
DShield Port raportti osoittaa, kuinka monet järjestelmät istuvat siellä odottamassa hyökätty. En ymmärrä logiikkaa antaessaan kriittisen palvelimen näin pääsee suoraan Internetistä, mutta olen edelleen löytää tämän virheen minun arviointeja, ja me kaikki muistamme vaikutus SQL Slammer-mato oli niin paljon haavoittuvia SQL Server -järjestelmiä. Kuitenkin nämä suoria hyökkäyksiä voi johtaa palvelunestohyökkäyksen, puskurin ylivuotoja ja enemmän. 2. haavoittuvuuden skannaus Haavoittuvuuden skannaus paljastaa usein puutteita taustalla OS, Web-sovellus tai tietokantajärjestelmän itse.
Mitään puuttuu SQL Server laastaria Internet Information Services (IIS) kokoonpano heikkouksia SNMP hyödyntää voidaan paljastaa hyökkääjät ja johtaa tietokantapalvelin kompromissi. Pahiksia voi käyttää avoimen lähdekoodin, kotimainen tai kaupallisia työkaluja. Jotkut ovat jopa taju riitä toteuttamaan heidän hakata manuaalisesti komentoriviltä. Edun aikaa (ja minimaalinen pyörän spinning), suosittelen käyttämällä kaupallisia haavoittuvuuden arviointi työkaluja kuten QualysGuard alkaen Qualys Inc.
(yleiseen skannaus), WebInspect alkaen SPI Dynamicsin (Web Application skannaus) ja Next Generation Security Software Oy: n NGSSquirrel SQL Server (tietokanta-erityisiä skannaus). Ne on helppo käyttää, tarjota mahdollisimman kattava arviointi ja puolestaan antaa parhaat tulokset. Kuvio 1 esittää joitakin SQL injection heikkouksia saatat pystyä paljastamaan. Kuva 1: Yhteinen SQL injection haavoittuvuuksia löydetty käyttäen WebInspect. 3.
Luetellaan SQL Server Resolution Service Running on UDP-portti 1434, tämän avulla voit löytää piilotettuja tietokantailmentymiä ja koetin syvemmälle järjestelmään. Chip Andrewsin SQLPing v 2.5 on loistava työkalu etsiä SQL Server (t) ja määrittää versionumerot (hieman). Tämä toimii, vaikka SQL Server tapauksissa eivät kuuntele oletuksena portteja. Myös puskurin ylivuoto voi tapahtua, kun liian pitkä pyyntö S