目次:
- ワイヤレス、オペレーティング・システムなどと同様に、重要なデータベースのセキュリティ問題を見つけるには良いツールが必要です。データベースセキュリティをテストするためのツールは次のとおりです。
- 管理されていない開発および品質保証(QA)分野で機密データを使用することは、データが破棄されるのを待っています。
- SQL Serverマスターにアクセスできる場合。 ElcomsoftのAdvanced SQL Password Recoveryを使用してすぐにデータベースのパスワードを回復することができます。
- 特権エスカレーション
ビデオ: Microsoft Azure OpenDev—June 2017 2024
Microsoft SQL Server、MySQL、Oracleなどのデータベースシステムはバックグラウンドで潜んでいますが、その価値と脆弱性が最終的に最前線に浮上しています。はい、一度unhackableと主張された強力なOracleでさえ、競合他社と同様の悪用の影響を受けやすいのです。データベースのセキュリティを規定する規制要件が盛り込まれているため、ビジネスはその中にあるリスクから隠れることはほとんどありません。
<!データベースのハッキング・リスクを検出するためのツールワイヤレス、オペレーティング・システムなどと同様に、重要なデータベースのセキュリティ問題を見つけるには良いツールが必要です。データベースセキュリティをテストするためのツールは次のとおりです。
Microsoft SQL Serverのパスワードを解読するための
-
高度なSQLパスワードリカバリ データベースパスワードハッシュを解読するためのCain&Abel
-
- 脆弱性スキャンを実行するためのQualysGuard
SQLPing3 -
ネットワーク上のMicrosoft SQL Serverの検索、空のsa(デフォルトのSQL Serverシステム管理者アカウント)パスワードの確認、および辞書パスワードクラッキング攻撃の実行 Metasploitなどの悪用ツールを使用して、データベーステストを行うこともできます。
-
ネットワーク上のデータベースを検索する <! - 3 - >
データベースの脆弱性を発見するための第一歩は、ネットワーク上のどこにあるのかを突き止めることです。面白いと思うが、多くのネットワーク管理者は、自分の環境で動作しているさまざまなデータベースについて認識していない。これは、誰でもワークステーションやテストシステムでダウンロードして実行できる無料のSQL Server Expressデータベースソフトウェアに特に当てはまります。
管理されていない開発および品質保証(QA)分野で機密データを使用することは、データが破棄されるのを待っています。
Microsoft SQL Serverシステムを検出する最も良いツールはSQLPing3です。SQLPing3は、パーソナルファイアウォールの背後に隠れているSQL Serverのインスタンスなどを検出できます。以前はSQLPing2の姉妹アプリケーションSQLReconでしか利用できなかった機能です。
お住まいの環境にOracleがある場合、Pete Finniganには、オラクル中心のセキュリティツールの一覧がwww。ペッフィニガン。 co.jp / tools htmはSQLPing3と同様の機能を実行できます。
クラックデータベースのパスワード
SQLPing3は辞書ベースのSQL Serverパスワードクラッキングプログラムとしても機能します。デフォルトで空白のsaパスワードがないかどうかをチェックします。 SQL Server、MySQL、およびOracleのパスワードハッシュを解読するためのもう1つの無料ツールはCain&Abelです。
Elcomsoftの分散パスワードリカバリ製品は、Oracleのパスワードハッシュを解読することもできます。
SQL Serverマスターにアクセスできる場合。 ElcomsoftのAdvanced SQL Password Recoveryを使用してすぐにデータベースのパスワードを回復することができます。
パスワードで保護されているレガシーMicrosoft Accessデータベースファイルにまたがる可能性があります。いいえ、心配はありません:アドバンスト・オフィス・パスワード・リカバリー・ツールは、あなたを真実に迎えることができます。
想像するように、これらのパスワード・クラッキング・ツールは、データベース・セキュリティの最も基本的な弱点を示す優れた方法です。問題があることを証明する最善の方法の1つは、Microsoft SQL Server 2008 Management Studio Expressを使用してデータベースシステムに接続し、パスワードを取得し、バックドアアカウントを設定したり、利用可能なものを閲覧したりすることです。
実質的にすべての保護されていないSQL Serverシステムでは、個人的な財務情報や医療情報が利用できます。
データベースの脆弱性のスキャン
オペレーティングシステムやWebアプリケーションと同様に、データベース固有の脆弱性は、適切なツールを使用することによってのみ根絶することができます。 QualysGuardを使用して、
バッファオーバーフロー
特権エスカレーション
デフォルト/保護されていないアカウントからアクセスできるパスワードハッシュ
-
弱い認証方法を有効にする
-
認証なしで名前を変更できるデータベースリスナーログファイル
-
SQL Server、Oracleなどのユーザー権限監査を含む、詳細なデータベースチェックを実行するための優れたオールインワン商用データベース脆弱性スキャナは、AppDetectiveProです。 AppDetectiveProは、投資を正当化することができれば、セキュリティテストツールの優れた機能となります。
-
多くの脆弱性は、認証されていない外部者の視点と信頼できる内部者の視点の両方からテストできます。たとえば、Oracle用のSYSTEMアカウントを使用して、システムにログインし、列挙し、スキャンすることができます(QualysGuardがサポートするもの)。
