হ্যাকারদের থেকে আপনার ডাটাবেস নিরাপদ কিনা তা নিশ্চিত করার সর্বোত্তম উপায় হ্যাকারের মতো চিন্তা করা। আপনি যদি হ্যাকার হয়ে থাকেন তবে আপনি কোন ধরণের তথ্য খুঁজবেন? আপনি কিভাবে এটি পেতে চেষ্টা করবেন? অসংখ্য ধরনের ডাটাবেস এবং সেগুলি হ্যাক করার বিভিন্ন উপায় আছে, কিন্তু অধিকাংশ হ্যাকার হয় ডাটাবেসের রুট পাসওয়ার্ড ক্র্যাক করার চেষ্টা করবে অথবা একটি পরিচিত ডাটাবেস এক্সপ্লোট চালাবে। আপনি যদি এসকিউএল স্টেটমেন্টে স্বাচ্ছন্দ্য বোধ করেন এবং ডাটাবেসের মূল বিষয়গুলি বুঝতে পারেন, তাহলে আপনি একটি ডাটাবেস হ্যাক করতে পারেন।
ধাপ
3 এর 1 পদ্ধতি: একটি এসকিউএল ইনজেকশন ব্যবহার করা
ধাপ 1. ডাটাবেস দুর্বল কিনা তা খুঁজে বের করুন।
এই পদ্ধতিটি ব্যবহার করার জন্য আপনাকে ডাটাবেস স্টেটমেন্টের সাথে দক্ষ হতে হবে। আপনার ওয়েব ব্রাউজারে ডাটাবেজ ওয়েব ইন্টারফেস লগইন স্ক্রিনটি খুলুন এবং ব্যবহারকারীর নাম ক্ষেত্রের মধ্যে '(একক উদ্ধৃতি) টাইপ করুন। "লগইন" ক্লিক করুন। যদি আপনি একটি ত্রুটি দেখতে পান যা "এসকিউএল ব্যতিক্রম: উদ্ধৃত স্ট্রিং সঠিকভাবে বন্ধ করা হয়নি" বা "অবৈধ অক্ষর" এর মতো কিছু বলে, ডাটাবেসটি এসকিউএল ইনজেকশনের জন্য ঝুঁকিপূর্ণ।
ধাপ 2. কলামের পরিমাণ খুঁজুন।
ডাটাবেসের জন্য লগইন পৃষ্ঠায় ফিরে আসুন (অথবা অন্য কোন URL যা "id =" বা "catid =" এ শেষ হয়) এবং ব্রাউজারের ঠিকানা বাক্সে ক্লিক করুন। ইউআরএলের পরে, স্পেস বারে আঘাত করুন এবং টাইপ করুন
1 দ্বারা আদেশ
তারপর hit Enter চাপুন। সংখ্যা বাড়িয়ে 2 করুন এবং ↵ এন্টার টিপুন। আপনি একটি ত্রুটি না হওয়া পর্যন্ত বাড়তে থাকুন। কলামের প্রকৃত সংখ্যা হল সেই সংখ্যাটি যা আপনি যে নম্বরটি দিয়েছিলেন তার আগে আপনি যে ত্রুটি দিয়েছেন।
ধাপ 3. কোন কলামগুলি প্রশ্নগুলি গ্রহণ করে তা সন্ধান করুন।
ঠিকানা বারে URL এর শেষে, পরিবর্তন করুন
catid = 1
অথবা
আইডি = 1
প্রতি
catid = -1
অথবা
আইডি = -1
। স্পেস বারে আঘাত করুন এবং টাইপ করুন
ইউনিয়ন 1, 2, 3, 4, 5, 6 নির্বাচন করুন
(যদি 6 টি কলাম থাকে)। সংখ্যাগুলি কলামের মোট পরিমাণ পর্যন্ত গণনা করা উচিত, এবং প্রতিটি কমা দ্বারা পৃথক করা উচিত। ↵ এন্টার টিপুন এবং আপনি প্রতিটি কলামের সংখ্যা দেখতে পাবেন যা একটি প্রশ্ন গ্রহণ করবে।
ধাপ 4. কলামে এসকিউএল স্টেটমেন্ট ইনজেক্ট করুন।
উদাহরণস্বরূপ, যদি আপনি বর্তমান ব্যবহারকারীকে জানতে চান এবং ইনজেকশনটি কলাম 2 এ রাখতে চান, URL- এ id = 1 এর পরে সবকিছু মুছে ফেলুন এবং স্পেস বারে আঘাত করুন। তারপর, টাইপ করুন
ইউনিয়ন নির্বাচন 1, কনক্যাট (ব্যবহারকারী ()), 3, 4, 5, 6--
। Hit এন্টার চাপুন এবং আপনি স্ক্রিনে বর্তমান ডাটাবেস ব্যবহারকারীর নাম দেখতে পাবেন। যেকোনো এসকিউএল স্টেটমেন্ট ব্যবহার করুন যা আপনি তথ্য ফেরত দিতে চান, যেমন ব্যবহারকারীর নাম এবং পাসওয়ার্ড ক্র্যাক করার জন্য তালিকা।
3 এর 2 পদ্ধতি: ডাটাবেস রুট পাসওয়ার্ড ক্র্যাক করা
পদক্ষেপ 1. ডিফল্ট পাসওয়ার্ড দিয়ে রুট হিসাবে লগ ইন করার চেষ্টা করুন।
কিছু ডাটাবেসে ডিফল্টভাবে রুট (অ্যাডমিন) পাসওয়ার্ড থাকে না, তাই আপনি পাসওয়ার্ড ক্ষেত্রটি খালি রেখে যেতে পারেন। অন্যদের কিছু ডিফল্ট পাসওয়ার্ড রয়েছে যা ডাটাবেস টেক সাপোর্ট ফোরামে অনুসন্ধান করে সহজেই পাওয়া যায়।
ধাপ 2. সাধারণ পাসওয়ার্ড ব্যবহার করে দেখুন।
অ্যাডমিন যদি পাসওয়ার্ড দিয়ে অ্যাকাউন্ট সুরক্ষিত করে (একটি সম্ভাব্য পরিস্থিতি), সাধারণ ব্যবহারকারীর নাম/পাসওয়ার্ড সংমিশ্রণ চেষ্টা করুন। কিছু হ্যাকার অডিটিং টুলস ব্যবহার করার সময় তাদের ক্র্যাক করা পাসওয়ার্ডের তালিকা প্রকাশ্যে পোস্ট করে। কিছু ভিন্ন ব্যবহারকারীর নাম এবং পাসওয়ার্ড সমন্বয় চেষ্টা করুন।
- সংগৃহীত পাসওয়ার্ড তালিকা সহ একটি সম্মানিত সাইট হল
- হাতে পাসওয়ার্ড চেষ্টা করা সময়সাপেক্ষ হতে পারে, তবে বড় বন্দুক ভাঙার আগে এটিকে শট দেওয়ার কোনও ক্ষতি নেই।
ধাপ a. একটি পাসওয়ার্ড অডিটিং টুল ব্যবহার করুন।
পাসওয়ার্ড ক্র্যাক না হওয়া পর্যন্ত আপনি হাজারো অভিধান শব্দ এবং অক্ষর/সংখ্যা/প্রতীক সংমিশ্রণ চেষ্টা করতে পারেন।
-
DBPwAudit (ওরাকল, মাইএসকিউএল, এমএস-এসকিউএল এবং ডিবি 2) এবং অ্যাক্সেস পাসভিউ (এমএস অ্যাক্সেসের জন্য) এর মতো সরঞ্জামগুলি জনপ্রিয় পাসওয়ার্ড অডিটিং সরঞ্জাম যা বেশিরভাগ ডেটাবেসের বিরুদ্ধে চালানো যায়। আপনি বিশেষ করে আপনার ডাটাবেসের জন্য নতুন পাসওয়ার্ড অডিটিং সরঞ্জামগুলির জন্য গুগল অনুসন্ধান করতে পারেন। উদাহরণস্বরূপ, একটি অনুসন্ধান
পাসওয়ার্ড অডিট টুল ওরাকল ডিবি
- আপনি যদি ওরাকল ডাটাবেস হ্যাক করে থাকেন।
- যদি আপনার সার্ভারে একটি অ্যাকাউন্ট থাকে যা ডাটাবেস হোস্ট করে, আপনি ডাটাবেসের পাসওয়ার্ড ফাইলের বিপরীতে জন দ্য রিপারের মতো হ্যাশ ক্র্যাকার চালাতে পারেন। ডাটাবেসের উপর নির্ভর করে হ্যাশ ফাইলের অবস্থান ভিন্ন।
- কেবলমাত্র সেই সাইটগুলি থেকে ডাউনলোড করুন যা আপনি বিশ্বাস করতে পারেন। এগুলি ব্যবহারের আগে ব্যাপকভাবে গবেষণা সরঞ্জামগুলি।
3 এর পদ্ধতি 3: ডাটাবেস এক্সপ্লয়েট চালানো
ধাপ 1. চালানোর জন্য একটি শোষণ খুঁজুন।
Sectools.org দশ বছরেরও বেশি সময় ধরে নিরাপত্তা সরঞ্জাম (শোষণ সহ) তালিকাভুক্ত করছে। তাদের সরঞ্জামগুলি বিশ্বব্যাপী সিস্টেম অ্যাডমিনিস্ট্রেটরদের দ্বারা স্বীকৃত এবং নিরাপত্তা পরীক্ষার জন্য ব্যবহৃত হয়। টুলস বা টেক্সট ফাইল খুঁজে পেতে তাদের "এক্সপ্লোয়েটেশন" ডাটাবেস ব্রাউজ করুন (অথবা অন্য একটি বিশ্বস্ত সাইট খুঁজুন) যা আপনাকে ডাটাবেসে নিরাপত্তা গর্ত ব্যবহার করতে সাহায্য করে।
- শোষণ সহ আরেকটি সাইট হল www.exploit-db.com। তাদের ওয়েবসাইটে যান এবং অনুসন্ধান লিঙ্কে ক্লিক করুন, তারপরে আপনি যে ধরনের ডাটাবেস হ্যাক করতে চান তা অনুসন্ধান করুন (উদাহরণস্বরূপ, "ওরাকল")। প্রদত্ত স্কোয়ারে ক্যাপচা কোড টাইপ করুন এবং অনুসন্ধান করুন।
- নিশ্চিত হোন যে আপনি চেষ্টা করছেন এমন সমস্ত শোষণের বিষয়ে গবেষণা করছেন যাতে আপনি জানেন যে সম্ভাব্য সমস্যার ক্ষেত্রে কী করতে হবে।
ধাপ 2. ওয়ার্ডাইভিং করে একটি দুর্বল নেটওয়ার্ক খুঁজুন।
ওয়ার্ডড্রাইভিং একটি অরক্ষিত নেটওয়ার্কের সন্ধানে একটি নেটওয়ার্ক স্ক্যানিং টুল (যেমন NetStumbler বা Kismet) চালানোর সময় একটি এলাকার চারপাশে ড্রাইভিং (বা বাইকিং, বা হাঁটা)। ওয়ারড্রাইভিং টেকনিক্যালি আইনি। ওয়ার্ডিং করার সময় আপনি যে নেটওয়ার্ক খুঁজে পান তা থেকে অবৈধ কিছু করা ঠিক নয়।
ধাপ the. দুর্বল নেটওয়ার্ক থেকে ডাটাবেস ব্যবহার করুন।
আপনি যদি এমন কিছু করছেন যা আপনার করা উচিত নয়, আপনার নিজের নেটওয়ার্ক থেকে এটি করা সম্ভবত একটি ভাল ধারণা নয়। ওয়্যারডাইভ করার সময় আপনি যে খোলা নেটওয়ার্কগুলি পেয়েছেন তার মধ্যে ওয়্যারলেসভাবে সংযোগ করুন এবং আপনার গবেষণা এবং নির্বাচিত শোষণটি চালান।
পরামর্শ
- সবসময় একটি ফায়ারওয়ালের পিছনে সংবেদনশীল তথ্য রাখুন।
- আপনার ওয়্যারলেস নেটওয়ার্কগুলিকে পাসওয়ার্ড দিয়ে সুরক্ষিত করতে ভুলবেন না যাতে ওয়ার্ডওয়াইয়াররা আপনার হোম নেটওয়ার্ক ব্যবহার না করে শোষণ চালাতে পারে।
- অন্যান্য হ্যাকার খুঁজুন এবং টিপস জিজ্ঞাসা করুন। কখনও কখনও সেরা হ্যাকিং জ্ঞান পাবলিক ইন্টারনেট বন্ধ রাখা হয়।
সতর্কবাণী
- আপনার নয় এমন একটি ডাটাবেসে প্রবেশাধিকার পাওয়া অবৈধ।
- আপনার দেশে হ্যাকিংয়ের আইন এবং প্রতিক্রিয়াগুলি বোঝুন।
- আপনার নিজের নেটওয়ার্ক থেকে মেশিনে অবৈধ অ্যাক্সেস পাওয়ার চেষ্টা করবেন না।