常见的数据库攻击方法

下面是六大数据库攻击:

  1.强力(或非强力)破解弱口令或默认的用户名及口令
  2.特权提升
  3.利用未用的和不需要的数据库服务和和功能中的漏洞
  4.针对未打补丁的数据库漏洞
  5.SQL注入
  6.窃取备份(未加密)的磁带

下面分别分析一下:
  1.对弱口令或默认用户名/口令的破解

  以前的Oracle数据库有一个默认的用户名:Scott及默认的口令:tiger;而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。

  当然这些默认的登录对于黑客来说尤其方便,借此他们可以轻松地进入数据库。

  Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来,它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。

  Forrester的Yuhanna说,“问题是企业拥有15000个数据库,而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全,其它的就不太安全了。现在,较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。”

  但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Markovich 说,“你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。”

  口令破解工具有很多,并且通过Google搜索或sectools.org等站点就可以轻易地获得,这样就会连接到Cain 、 Abel或John theRipper等流行的工具。

  保护自己免受口令攻击的最佳方法:避免使用默认口令,建立强健的口令管理程序并对口

  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值