Cómo minimizar las vulnerabilidades de bases de datos para evitar ser atacado

Los sistemas de bases de datos, como Microsoft SQL Server, MySQL y Oracle, han acechaba detrás de las escenas, pero su valor y su vulnerabilidad finalmente han llegado a la vanguardia. Sí, incluso el poderoso Oracle que una vez que se afirma que es unhackable es susceptible de hazañas similares a sus competidores. Con la gran cantidad de requisitos normativos que rigen la seguridad de base de datos, casi ninguna empresa puede esconderse de los riesgos que se encuentran dentro.

Herramientas para detectar riesgos de piratería de base de datos

Al igual que con inalámbrica, sistemas operativos, etc., necesita buenas herramientas si vas a encontrar los problemas de seguridad de base de datos que cuentan. Las siguientes son algunas herramientas para la seguridad de la base de datos de pruebas:

  • Recuperación de contraseña avanzada SQL para el craqueo de contraseñas de Microsoft SQL Server

  • Caín & Abel para el craqueo de los hashes de contraseñas de base de datos

  • QualysGuard para la realización de análisis de vulnerabilidad de profundidad en

  • SQLPing3 para la localización de los servidores SQL Server de Microsoft en la red, la comprobación de sa en blanco (la cuenta de administrador del sistema de SQL Server predeterminado) contraseñas, y la realización de ataques de diccionario de descifrado de contraseñas

También puede utilizar explotar las herramientas, tales como Metasploit, para su prueba de base de datos.

Encuentra las bases de datos en la red

El primer paso en el descubrimiento de vulnerabilidades de bases de datos es averiguar dónde se encuentren en la red. Suena divertido, pero muchos administradores de red ni siquiera son conscientes de las diversas bases de datos que se ejecutan en sus entornos. Esto es especialmente cierto para el software libre de la base de datos de SQL Server Express que cualquiera puede descargar y ejecutar en un sistema de estación de trabajo o de prueba.

Video: ¿Por qué se ataca tanto a López Obrador?

Utilizando los datos sensibles en las zonas no controladas de desarrollo y control de calidad (QA) es una violación de datos a punto de ocurrir.

La mejor herramienta para descubrir los sistemas de Microsoft SQL Server es SQLPing3.

SQLPing3 puede descubrir instancias de SQL Server oculta detrás de los cortafuegos personales y más - una característica anteriormente sólo disponible en SQLRecon aplicación hermana de SQLPing2.

Si tiene Oracle en su entorno, Pete Finnigan tiene una gran lista de herramientas de seguridad de Oracle centrados en petefinnigan.com/tools.htm que pueden realizar funciones similares a SQLPing3.

Descifrar contraseñas de bases de datos

SQLPing3 también sirve como un buen programa para descifrar contraseñas de SQL Server basado en diccionario. Comprueba si las contraseñas sa blanco de forma predeterminada. Otra herramienta gratuita para el craqueo de SQL Server, MySQL, Oracle y los hashes de contraseñas es Caín & Abel.

El producto comercial Elcomsoft Distributed Password Recovery También puede romper hashes de contraseñas de Oracle.

Si tiene acceso a SQL Server master.mdf archivos, puede utilizar Recuperación de la contraseña de SQL avanzada de elcomsoft para recuperar las contraseñas de bases de datos inmediatamente.

Es posible toparse con algunos archivos de bases de datos existentes de Microsoft Access que están protegidos por contraseña también. No se preocupe: La herramienta Advanced Office Password Recovery puede conseguir que la derecha adentro.

Como se puede imaginar, estas herramientas de descifrado de contraseñas son una gran manera de demostrar el más básico de los puntos débiles en la seguridad de su base de datos. Una de las mejores maneras de probar que hay un problema es utilizar Microsoft SQL Server 2008 Management Studio Express para conectarse a los sistemas de bases de datos que ahora tienen las contraseñas de las cuentas y configurar de puerta trasera o navegar alrededor para ver lo que está disponible.

En prácticamente todos los sistemas SQL Server sin protección, no es sensible información financiera o personal sanitario disponible para la toma.

bases de datos de exploración en busca de vulnerabilidades

Al igual que con los sistemas operativos y aplicaciones web, algunas vulnerabilidades de bases de datos específicas pueden tener sus raíces a cabo sólo mediante el uso de las herramientas adecuadas. Se puede utilizar para encontrar QualysGuard cuestiones tales como

  • desbordamientos de búfer

  • escaladas de privilegios

  • Hashes accesible a través de cuentas por defecto / no protegidas

  • métodos de autenticación débiles habilitadas

  • oyente base de datos de los archivos de registro que se puede cambiar el nombre sin autenticación

    Video: En 1 Hora-Demencia y vulnerabilidad legal

Una gran escáner de vulnerabilidades todo en una base de datos comercial para la realización de controles de base de datos en profundidad - incluyendo auditorías derechos de usuario en SQL Server, Oracle, y así sucesivamente - es AppDetectivePro. AppDetectivePro puede ser una buena adición a su arsenal de herramientas de pruebas de seguridad si se puede justificar la inversión.

Muchas vulnerabilidades pueden ser probados desde la perspectiva tanto de un intruso no autenticado, así como la perspectiva de una información privilegiada de confianza. Por ejemplo, puede utilizar la cuenta del sistema de Oracle para iniciar la sesión, enumerar, y escanear el sistema (algo que es compatible con QualysGuard).

Artículos Relacionados
Linux y algunas vulnerabilidades informáticas comunes
Productos y almacenamiento de datos relacionales
Seis proveedores con productos de middleware para el almacenamiento de datos
Vulnerabilidades de seguridad del sistema de gestión de base de datos
Oracle automatic storage management
Oracle gráfico de entrada de base de datos
Con el asistente de actualización de base de datos de oracle
Un estudio de caso en la vulnerabilidad de seguridad de base de datos
Sea consciente de las vulnerabilidades de contraseñas para evitar ser atacado
La ejecución de las diferentes pruebas de seguridad en su propio entorno
Herramientas que no puede vivir sin la piratería
Herramientas hackers utilizan para descifrar contraseñas
La creación de bases de datos robustas en sql
Los componentes clave de microsoft sql server
Nuevas características de seguridad en sql server 2005
El uso de bases de datos sql para conectarse
Fundamentos de la familia encargado de la empresa oracle 12c
Cómo descifrar contraseñas de bases de datos
Cómo descifrar contraseñas con pwdump3 y john the ripper
Ejecutar exploraciones autenticados para evitar cortes en los sistemas windows