数据库攻击(数据库总是被攻击,怎样解决)

大家好，如果您还对数据库攻击不太了解，没有关系，今天就由本站为大家分享数据库攻击的知识，包括数据库总是被攻击,怎样解决的问题都会给大家分析到，还望可以解决大家的问题，下面我们就开始吧！

如何攻击数据库

目录方法1：利用SQL注入1、弄清楚数据库是否易受到攻击。2、确定列数。3、确定哪些列可以被查询。4、将SQL语句注入到列中。方法2：破解数据库根密码1、尝试使用默认密码以根用户身份登录。2、尝试常见密码。3、使用密码检索工具。方法3：攻击数据库漏洞1、查找漏洞。2、通过wardriving寻找不设防的网络。3、利用不设防的网络进行攻击数据库漏洞。确保数据库不受黑客攻击的最佳方法是像黑客一样思考。如果你是一个黑客，你会搜寻什么样的信息？你会怎么做来获取这些信息？数据库有很多种类型，攻击数据库的方法也各不相同，但是大多数黑客要么试图破解数据库根密码，要么攻击已知的数据库漏洞。如果你熟悉SQL语句，了解数据库的基础知识，那你就可以对数据库发起攻击。

方法1：利用SQL注入

1、弄清楚数据库是否易受到攻击。要使用这种方法，你得熟悉数据库语句。在浏览器中打开数据库网页登录界面，并在用户名字段中输入’（单引号）。点击"登录"。如果你看到类似于"SQL异常：引号内的字符串没有正确结束"或"无效字符"之类的错误，那么数据库就很容易受到SQL注入的攻击。

2、确定列数。返回到数据库的登录页面（或以"catnowrap" title="This is not a clickable button; it illustrates the button one should find." style="font-family: Segoe UI, Frutiger, Frutiger Linotype, Dejavu Sans, Helvetica Neue, Arial, sans-serif;letter-spacing:0px;padding:0em.6em; border:1px solid; border-color:#AAA#555#555#AAA;-moz-border-radius: 0px;-webkit-border-radius: 0px; border-radius: 0px; background-color:#F2F2F2; background-image:-moz-linear-gradient(top,#FCFCFC,#E0E0E0); background-image:-o-linear-gradient(top,#FCFCFC,#E0E0E0); background-image:-webkit-linear-gradient(top,#FCFCFC,#E0E0E0); background-image: linear-gradient(top,#FCFCFC,#E0E0E0);">Enter。数字增加到2，并按Enter。一直增加，直到出现错误为止。实际的列数是出现错误之前输入的列数。

3、确定哪些列可以被查询。在地址栏URL的末尾，将catid=1或id=1改为catid=-1或id=-1。按空格键，并输入union select 1,2,3,4,5,6（如果有6列的话）。数字应当从1数到列的总数，并且每个数字之间由逗号隔开。按Enter，这样你就可以确定哪些列可以被查询。

4、将SQL语句注入到列中。例如，如果你想知道当前用户，并且想将SQL语句注入到第2列中，删除URL中id=1后面的所有内容，再按空格键。然后，输入union select 1,concat(user()),3,4,5,6--。按Enter，会显示当前数据库的用户名。使用可以返回信息的SQL语句，如要破解的用户名和密码列表。

方法2：破解数据库根密码

1、尝试使用默认密码以根用户身份登录。有些数据库在默认没有根（管理员）密码，所以你可以将密码字段保留为空。其他用户的默认密码可以通过搜索数据库技术支持论坛轻松找到。

2、尝试常见密码。如果管理员使用密码保护帐户（很可能是这种情况），请尝试常见的用户名/密码组合。一些黑客会公开发布他们使用检索工具破解的密码列表。尝试一些不同的用户名和密码组合。收集密码列表的一家知名网站： https://github.com/danielmiessler/SecLists/tree/master/Passwords。

手工尝试密码可能很耗时，但在破解密码之前尝试一下也没什么坏处。

3、使用密码检索工具。你可以使用各种工具通过暴力尝试数千个字典单词和字母/数字/符号组合，直到密码被破解为止。 DBPwAudit（适用于Oracle、MySQL、MS- sql和DB2）和Access Passview（适用于MS Access）等工具是常用的密码检索工具，可以在大多数数据库上运行。你也可以上谷歌搜索，寻找专门适用于你的数据库的最新密码检索工具。例如，如果你正在攻击Oracle数据库，可以搜索password audit tool oracle db。

如果有运行数据库的服务器的帐户，你可以对数据库的密码文件运行哈希破解工具，如John the Ripper，来破解数据库的密码文件。哈希文件的位置因数据库而异。

只从你信任的网站下载。在使用工具之前，要仔细研究研究。

方法3：攻击数据库漏洞

1、查找漏洞。 Sectools.org作为安全工具（包括发现漏洞）已经有十多年，并且广受好评，被全世界的系统管理员用于安全测试。浏览"攻击漏洞"数据库（或者寻找其他信任站点），找到有助于你攻击数据库安全漏洞的工具或文本文件。另一个可以攻击漏洞的网站是 www.exploit-db.com。进入这个网站，点击"搜索"链接，然后搜索需要攻击的数据库类型（如"oracle"）。在给定的方框中输入验证码，并搜索。

确保你研究了所有准备尝试的漏洞，这样你就知道在可能出现问题时该怎么做。

2、通过wardriving寻找不设防的网络。 Wardriving是指在区域内驾驶（或骑车、步行）的同时，运行网络扫描工具（如NetStumbler或Kismet），以找到不安全的网络。Wardriving在理论上是合法的。在网络上一些行为是不合法的，而使用Wardriving却是合法的。

3、利用不设防的网络进行攻击数据库漏洞。如果你在做一些不该做的事情，最好不要用自己的网络。无线连接到通过wardriving发现的开放式网络，攻击你之前研究并挑选的漏洞。

小提示敏感数据一定要用防火墙保护。

确保用密码来保护你的无线网络，这样wardrivers就无法利用你的家庭网络来攻击漏洞。

寻找其他黑客，咨询他们的建议。有时候，最好的黑客知识是在公共互联网上找不到的。

警告了解黑客行为在你的国家造成的后果及其相关法律。

永远不要试图从自己的网络上非法访问计算机。

访问非他人的数据库是非法的。

sql注入攻击的原理

sql注入攻击的原理：SQL注入（SQLi）是一种可执行恶意 SQL语句的注入攻击。这些 SQL语句可控制网站背后的数据库服务。攻击者可利用 SQL漏洞绕过网站已有的安全措施。他们可绕过网站的身份认证和授权并访问整个 SQL数据库的数据。他们也可利用 SQL注入对数据进行增加、修改和删除操作。

SQL注入可影响任何使用了 SQL数据库的网站或应用程序，例如常用的数据库有 MySQL、Oracle、SQL Server等等。攻击者利用它，便能无需授权地访问你的敏感数据，比如：用户资料、个人数据、商业机密、知识产权等等。SQL注入是一种最古老、最流行、也最危险的网站漏洞。OWASP组织（Open Web Application Security Project）在 2017年的 OWASP Top 10文档中将注入漏洞列为对网站安全最具威胁的漏洞。

为了发起 SQL注入攻击，攻击者首先需要在网站或应用程序中找到那些易受攻击的用户输入。这些用户输入被有漏洞的网站或应用程序直接用于 SQL查询语句中。攻击者可创建这些输入内容。这些内容往往被称为恶意载体，它们是攻击过程中的关键部分。随后攻击者将内容发送出去，恶意的 SQL语句便会在数据库中被执行。

数据库总是被攻击,怎样解决

目前，针对应用及其后台数据库的应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。

为了对付这类威胁，新一级别的安全脱颖而出，这就是应用安全。这种安全技术将传统的网络和操作系统级入侵探测系统(IDS)概念应用于数据库(即应用)。与通常的网络或操作系统解决方案不同的是，应用IDS提供主动的、针对SQL的保护和监视，可以保护数以千计的预先包装或自行开发的Web应用。例如，应用IDS可以监视和防护关键的数据，使那些针对数据库的攻击，如缓冲区溢出和Web应用攻击等无法对数据库造成真正的损害，而且应用IDS还可以对这些事件进行审查。

应用安全与网络和主机安全之间存在很大的区别。应用是千差万别的，但攻击的目标总是相同的，也就是入侵数据库。由于应用使用SQL与数据库进行通信，因此好的应用IDS应当能够解析SQL，并且提供一种能够理解流量的内容，且又能与应用划清界线的客观保护层。

多数应用IDS都有三个组件。第一个是基于网络或主机的传感器。网络传感器连接到交换机上的一个端口上，该端口的配置决定它可以查看到数据库内的所有流量。相比之下，主机传感器直接驻留在应用上。传感器可以收集SQL交易并对其进行解析，然后决定是否应当针对该流量发出警报。如果有必要发出警告，警告会被传递给下一个组件，即控制台服务器。这台服务器存储事件信息，并且是策略配置和升级等传感器维护活动的中心点。应用IDS中的第三个组件是Web浏览器，管理员可以利用它来修改IDS设置、实时监视事件并生成报告。

以SQL注入攻击为例，攻击者会试图绕过Web服务器定义的SQL语句，目的就是要注入自己的语句。假设要输入的用户名为Bob，口令为Hardtoguess。

当看到这些输入的内容后，数据库就会找到WebUsers行中与之匹配的内容，然后该应用会对用户进行验证。为了入侵数据库，SQL注入攻击会欺骗应用，并使之相信自己已经提交了正确的证书。例如，攻击使用的口令是‘blah’或‘A’=‘A’，因此攻击时创建的SQL语句可能会是:SELECT* FROM WebUsers WHERE Username=‘Bob’ AND Password=‘blah’ OR‘A’=‘A’。

从逻辑上来分析‘A’=‘A’永远都是TRUE，而WHERE子句也可以匹配所有的行，就这样，攻击者在根本没有正确用户名或口令的情况下也能蒙混过关，得到验证。应用服务器会接受输入的信息并且允许攻击者通过。接下来，应用服务器会通过SQL命令从数据库中请求数据。

如果有了应用IDS，传感器会收集SQL命令并对其进行解密，然后查看这些命令到底要访问数据库中的哪些表和列。利用这种方法，传感器就可以判断出到底是正常情况还是一次攻击行为。如果发现的行为是IDS策略不允许的，传感器会判断攻击的威胁水平并采取适当的措施，通常是向管理员的控制台和/或通过电子邮件发出警告。

这只是应用层攻击的一个简单例子，而且今天的许多公司都在面临这样的威胁。通过实施应用级IDS，企业就可以有效地保护易受攻击的数据，并且将最新的攻击和威胁拒之门外。

END，本文到此结束，如果可以帮助到大家，还望关注本站哦！