Como minimizar as vulnerabilidades de banco de dados para evitar ser cortado
sistemas de banco de dados, como o Microsoft SQL Server, MySQL e Oracle, têm se escondia por trás dos bastidores, mas o seu valor e as suas vulnerabilidades finalmente vir para a frente. Sim, até mesmo o poderoso Oracle que já foi reivindicada a ser unhackable é suscetível a ataques semelhantes aos seus concorrentes. Com a enorme quantidade de requisitos regulamentares que regem a segurança do banco de dados, praticamente nenhuma empresa pode se esconder dos riscos que se encontram dentro.
Menu
Ferramentas para detectar riscos de invasão de banco de dados
Tal como acontece com wireless, sistemas operacionais, e assim por diante, você precisa de boas ferramentas se você está indo para encontrar as questões de segurança de banco de dados que contam. A seguir estão algumas ferramentas para segurança de banco de dados de teste:
Avançado SQL Password Recovery para quebrar senhas do Microsoft SQL Server
Caim Abel para quebrar hashes de senha de banco de dados
QualysGuard para a realização de varreduras de vulnerabilidades em profundidade
SQLPing3 para a localização de Servidores Microsoft SQL Server na rede, verificação de sa em branco (a conta de administrador do sistema do SQL Server padrão) senhas e realizando ataques de quebra de senha de dicionário
Você também pode usar ferramentas, como Metasploit explorar, para o seu teste de banco de dados.
Encontrar bases de dados sobre a rede
O primeiro passo na descoberta de vulnerabilidades de banco de dados é descobrir onde eles estão localizados em sua rede. Parece engraçado, mas muitos administradores de rede não estão mesmo cientes de vários bancos de dados rodando em seus ambientes. Isto é especialmente verdadeiro para o software de banco de dados livre SQL Server Express que qualquer um pode baixar e executar em um sistema de teste ou estação de trabalho.
Usando dados sensíveis nas áreas não controladas de desenvolvimento e garantia de qualidade (QA) é uma violação de dados esperando para acontecer.
A melhor ferramenta para descobrir sistemas Microsoft SQL Server é SQLPing3.
SQLPing3 pode descobrir instâncias do SQL Server escondido atrás de firewalls pessoais e muito mais - uma característica anteriormente apenas disponível em SQLRecon aplicação irmã de SQLPing2.
Se você tem o Oracle em seu ambiente, Pete Finnigan tem uma grande lista de ferramentas de segurança da Oracle centrados na petefinnigan.com/tools.htm que pode executar funções semelhantes às SQLPing3.
Quebrar senhas de banco de dados
SQLPing3 também serve como um programa de quebra de senha SQL Server baseada em dicionário agradável. Ele verifica em branco senhas sa por padrão. Outra ferramenta gratuita para quebrar SQL Server, MySQL e hashes de senha do Oracle é Cain Abel.
O produto comercial Elcomsoft Distributed Password Recovery Também pode quebrar hashes de senha Oracle.
Se você tem acesso ao SQL Server master.mdf arquivos, você pode usar Recuperação de senha avançada SQL da Elcomsoft para recuperar senhas de banco de dados imediatamente.
Você pode tropeçar em alguns legados arquivos de banco de dados Microsoft Access que são protegidos por senha também. Não se preocupe: A ferramenta Advanced Office Password Recovery você pode obter à direita.
Como você pode imaginar, essas ferramentas de quebra de senha são uma ótima maneira de demonstrar o mais básico dos pontos fracos na segurança da sua base de dados. Uma das melhores maneiras de ir sobre provando que há um problema é usar Microsoft SQL Server 2008 Management Studio Express para se conectar aos sistemas de banco de dados agora você tem as senhas para e configurar contas de backdoor ou navegar ao redor para ver o que está disponível.
Em praticamente todos os sistemas SQL Server sem proteção, não há pessoal sensível informações financeiras ou de saúde disponíveis para a tomada.
bases de dados de varredura de vulnerabilidades
Tal como acontece com os sistemas operacionais e aplicações web, algumas vulnerabilidades específicas de banco de dados podem ser erradicado apenas usando as ferramentas certas. Você pode usar QualysGuard para encontrar questões como
estouros de buffer
escalações Privilege
Password hashes acessível através padrão contas / desprotegidos
métodos de autenticação fracos habilitado
ouvinte banco de dados de arquivos que podem ser renomeadas sem autenticação log
Um grande scanner de vulnerabilidade tudo-em-um banco de dados comercial para executar verificações de banco de dados em profundidade - incluindo auditorias direitos de usuário em SQL Server, Oracle, e assim por diante - é AppDetectivePro. AppDetectivePro pode ser um bom complemento para a sua segurança arsenal ferramenta de teste se você pode justificar o investimento.
Muitas das vulnerabilidades pode ser testada a partir da perspectiva tanto um outsider não autenticada, bem como a perspectiva de um insider confiável. Por exemplo, você pode usar a conta SYSTEM para Oracle para iniciar sessão, enumerar e digitalizar o sistema (algo que QualysGuard suporta).