Cómo minimizar las vulnerabilidades de bases de datos para evitar ser atacado
Sistemas de bases de datos, como Microsoft SQL Server, MySQL y Oracle, han acechaba detrás de las escenas, pero su valor y sus vulnerabilidades finalmente han llegado a la vanguardia. Sí, incluso el poderoso Oracle que una vez que se decía ser unhackable es susceptible de hazañas similares a los de su competencia. Con la gran cantidad de requisitos normativos que rigen la seguridad de base de datos, casi ninguna empresa puede esconderse de los riesgos que se encuentran dentro.
Conteúdo
Herramientas para detectar riesgos de hacking base de datos
Como con la tecnología inalámbrica, sistemas operativos, etc., necesita buenas herramientas si usted va a encontrar los problemas de seguridad de base de datos que cuentan. Las siguientes son algunas de las herramientas de seguridad de base de datos de prueba:
Advanced SQL Password Recovery para el craqueo de contraseñas de Microsoft SQL Server
Caín Abel para el craqueo de los hashes de contraseñas de base de datos
QualysGuard para la realización de análisis de vulnerabilidades en profundidad
SQLPing3 para la localización de Servidores Microsoft SQL Server en la red, la comprobación de sa en blanco (la cuenta de administrador del sistema de SQL Server predeterminada) contraseñas, y la realización de ataques de descifrado de contraseñas de diccionario
También puede utilizar explotar herramientas, como Metasploit, para su prueba de base de datos.
Encuentra las bases de datos en la red
El primer paso en el descubrimiento de vulnerabilidades de bases de datos es averiguar dónde se encuentren en la red. Suena divertido, pero muchos administradores de red ni siquiera son conscientes de las diversas bases de datos que se ejecutan en sus entornos. Esto es especialmente cierto para el software libre de la base de datos de SQL Server Express que cualquiera puede descargar y ejecutar en un sistema de estación de trabajo o de prueba.
Utilizando los datos sensibles en las áreas no controladas de desarrollo y control de calidad (QA) es una violación de datos que espera para suceder.
La mejor herramienta para descubrir los sistemas de Microsoft SQL Server es SQLPing3.
SQLPing3 puede descubrir instancias de SQL Server escondido detrás de los cortafuegos personales y más - una característica anteriormente sólo disponible en la aplicación hermana SQLRecon de SQLPing2.
Si usted tiene Oracle en su entorno, Pete Finnigan tiene una gran lista de herramientas de seguridad de Oracle centrados en petefinnigan.com/tools.htm que puede realizar funciones similares a SQLPing3.
Descifrar contraseñas de bases de datos
SQLPing3 también sirve como un buen SQL Server programa de violación de contraseñas basado en diccionarios. Comprueba si contraseñas sa en blanco de forma predeterminada. Otra herramienta gratuita para el craqueo de SQL Server, MySQL y Oracle hashes de contraseñas es Caín Abel.
El comercial de productos Elcomsoft Distributed Password Recovery también puede romper Oracle hashes de contraseñas.
Si tiene acceso a SQL Server master.mdf archivos, puede utilizar Advanced SQL Password Recovery de Elcomsoft para recuperar contraseñas de base de datos inmediatamente.
Usted puede tropezar con algunas heredadas de Microsoft Access archivos de bases de datos que están protegidos por contraseña también. No se preocupe: La herramienta Advanced Office Password Recovery puede obtener directamente.
Como se puede imaginar, estas herramientas de descifrado de contraseñas son una gran manera de demostrar el más básico de los puntos débiles en la seguridad de su base de datos. Una de las mejores maneras de ir sobre que demuestra que hay un problema es el uso de Microsoft SQL Server 2008 Management Studio Express para conectarse a los sistemas de bases de datos ahora tiene las contraseñas de y configurar cuentas de puerta trasera o navegar alrededor para ver lo que está disponible.
En prácticamente todos los sistemas SQL Server sin protección, no hay información financiera o de cuidado de la salud personal privada disponible para la toma.
Bases de datos de escaneo de vulnerabilidades
Al igual que con los sistemas operativos y las aplicaciones web, algunas vulnerabilidades específicas de bases de datos pueden tener sus raíces a cabo sólo mediante el uso de las herramientas adecuadas. Puede utilizar QualysGuard encontrar temas como
Desbordamientos de búfer
Escaladas de privilegios
Contraseña hashes accesible a través de defecto / cuentas no protegidas
Métodos de autenticación débiles habilitadas
Oyente base de datos los archivos de registro que se puede cambiar de nombre sin autenticación
Un buen escáner de vulnerabilidades todo en una base de datos comercial para la realización de controles de base de datos en profundidad - incluyendo auditorías derechos de usuario en SQL Server, Oracle, etc. - es AppDetectivePro. AppDetectivePro puede ser una buena adición a la seguridad de su herramienta de prueba arsenal si se puede justificar la inversión.
Muchas vulnerabilidades pueden ser probados desde la perspectiva tanto de una persona ajena no autenticado, así como la perspectiva de un insider de confianza. Por ejemplo, puede utilizar la cuenta del sistema para Oracle para iniciar sesión, enumerar, y escanear el sistema (algo que QualysGuard apoya).
-
Sea consciente de las vulnerabilidades de contraseñas para evitar ser atacado - Cómo utilizar la seguridad del sistema operativo para evitar ser atacado
-
Ejecutar exploraciones autenticados para evitar cortes en los sistemas de ventanas - Productos relacionales y almacenamiento de datos
-
Servicios de replicación de almacenamiento de datos - Seis proveedores con productos de middleware para el almacenamiento de datos
Gestión automática de almacenamiento de Oracle Oracle Automatic Storage Management (ASM) es un método para gestionar sus necesidades de almacenamiento dentro y fuera de la base de datos. Sí, ASM no sólo se aplica al almacenamiento de base de datos, pero también puede ser utilizado como un…
Oracle tabla de la base de datos de inicio de sesión Nunca se debe anotar las contraseñas a su real Bases de datos Oracle. Sin embargo, mientras que el aprendizaje y llenando su cerebro con el conocimiento, olvidando sus contraseñas para diferentes funcionalidades debe ser el menor de sus…
Definiciones básicas de bases de datos e instancias en 12c oráculo Todos estos datos debe residir somewhere- específicamente, dentro de un base de datos. Las bases de datos son programas de software complejos, como Oracle 12c, ese catálogo y proporcionan acceso a los datos. Aunque los datos se suelen almacenar en…
Conceptos básicos de la familia Enterprise Manager 12c oráculo Oracle Enterprise Manager (EM) se hizo disponible en Oracle 7 y ha pasado por numerosos cambios desde entonces para llegar a la versión 12c de Oracle. EM básicamente comenzó como un cliente de escritorio y se convirtió en la aplicación basada…
Consideraciones de software básicos para clusters de aplicaciones reales en 12c oráculo Antes de configurar el Oracle 12c Real Application Clusters (RAC), investigar el software que necesita para funcionar sin problemas. Considere las siguientes áreas de software.Sistema operativo y Oracle Real Application Clusters 12cAunque casi…
Cómo autenticar mac os x en servidor de león En Mac OS X Lion Server, servicios de directorio también proporcionan la autenticación que permite a los usuarios acceder a otros servicios. Las cadenas principales de autenticación comunes de muchos directorios prevalentes son ligeros Directory…
Encontrar alternativas para acceder a proyectos de datos Si usted es un usuario de Access 2000 hasta el 2010, es posible que esté familiarizado con Proyecto de acceso a datos (ADP) archivos - archivos de datos de acceso que proporcionan acceso a las bases de datos de SQL Server. Acceso 2013 cae soporte…
Los componentes clave de Microsoft SQL Server El producto de Microsoft SQL Server se compone de cuatro componentes principales, tres de ellos siglas deportivos. Utilice esta lista para identificar los componentes de SQL Server y distinguirlos.Base de datos del motor: Esta parte de SQL Server en…
Linux y algunas vulnerabilidades informáticas comunes Prevención en Linux incluye los mecanismos (no técnicos y técnicos) que ayudan a prevenir ataques al sistema y la red. Antes de poder pensar en la prevención, sin embargo, usted tiene que saber los tipos de problemas que está tratando de evitar…
Las nuevas características de seguridad en SQL Server 2005 Microsoft SQL Server 2005 tiene varias características de seguridad nuevas en comparación con el modelo de seguridad de SQL Server 2000. El modelo de seguridad de SQL Server 2005 le permite tanto a garantizar la seguridad y hacer que SQL Server…
Guía del hacker ético a las herramientas y recursos Manténgase al día con las últimas y más éticas herramientas y recursos de hacking. Finesse sus habilidades de hacking ético al visitar estos sitios para seguridad, herramientas, recursos y mucho más.BluetoothBlueScannerBluesnarferBlueSniper…
Herramientas de hacking ético que no puede vivir sin Como profesional de seguridad de la información, su caja de herramientas es el elemento más crítico que puede poseer - aparte de la experiencia práctica y el sentido común. Sus herramientas de hacking deben consistir en lo siguiente (y…