ビデオ: クラッキング SQLインジェクション ユーザID パスワードが丸見え 2024
QLPing3は辞書ベースのSQL Serverのパスワードクラッキングプログラムです。デフォルトで空白のsaパスワードがないかどうかをチェックします。 SQL Server、MySQL、Oracleのパスワードハッシュを解くためのもう1つの無料のツールは、ここに表示されているCain&Abelです。
Cain&Abelをロードするだけで、上部のCrackerタブをクリックし、左下のOracle Hashesを選択し、上部に青色のプラス記号をクリックしてユーザー名とパスワードのハッシュをロードしてクラッキングを開始します。また、左下のOracle TNSハッシュを選択し、Cainでパケットをキャプチャするときにトランスポート・ネットワーク・サブストレートのハッシュをキャプチャしようとすることもできます。 MySQLのパスワードハッシュに対しても同じことができます。
<! - 1 - >市販のElcomSoft分散パスワードリカバリでも、Oracleのパスワードハッシュを解読することができます。 SQL Serverマスターにアクセスできる場合。 mdfファイル(弱い共有とファイルのアクセス許可のためにネットワーク上ですぐに利用可能なことが多い)を使用すると、ElcomSoftのAdvanced SQL Password Recoveryを使用してすぐにデータベースパスワードを回復できます。
パスワードで保護されているレガシーMicrosoft Accessデータベースファイルにまたがる可能性があります。心配はありません:アドバンスドオフィスのパスワードリカバリツールは、あなたをすぐにあなたに連れて来ることができます。
想像しているように、これらのパスワードクラッキングツールは、データベースセキュリティの最も基本的な弱点を示す優れた方法です。また、保護されていない方法でネットワークに散在している重要なファイルの問題を強調する良い方法です。
SQL Serverの弱点を示すもう一つの良い方法は、Microsoft SQL Server 2008 Management Studio Expressを使用して、パスワードを取得したデータベースシステムに接続し、バックドアアカウントを設定したり、利用可能なものを表示(および表示)したりすることです。実質的にすべての保護されていないSQL Serverシステムでは、個人的な財務情報や医療情報が利用できます。
