黑客攻破SQL服务器系统的十种方法文档格式.docx

黑客攻破SQL服务器系统的十种方法文档格式.docx

《黑客攻破SQL服务器系统的十种方法文档格式.docx》由会员分享，可在线阅读，更多相关《黑客攻破SQL服务器系统的十种方法文档格式.docx（13页珍藏版）》请在冰豆网上搜索。

因此，可以使用上面提到的一种小工具SQLPing。

Application平安公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。

5.直接利用平安漏洞攻击

　　使用图1显示的Metasploit等工具软件可以直接实施攻击。

这种软件的商业性软件“CANVAS〞和“COREIMPACT〞等能够利用在正常的平安漏洞扫描过程中发现的平安漏洞实施攻击。

这是非常有效的攻击手段，攻击者可利用这种手段突破系统、从事代码注入或者取得非经授权的命令行权限。

6.SQL注入

　　SQL注入攻击可以通过没有正确验证用户输入的前端网络应用程序实施。

包括SQL指令在内的异常的SQL查询可以直接注入到网络URL（统一资源定位符）中，并且返回一些错误通知，执行一些指令等等。

如果你有时间的话，这些攻击可以手工实施。

我一旦发现一个效劳器有一个潜在的SQL注入平安漏洞，我喜欢使用一种自动的工具深入研究这个漏洞。

这些工具包括图3显示的SPIDynamics公司的SQL注入器等。

图3:

SPIDynamics公司的SQL注入器自动实施SQL注入过程。

7.SQL盲注攻击

　　这些攻击以标准的SQL注入攻击一样的根本方式利用网络应用程序和后端SQL效劳器的平安漏洞。

最大的区别是攻击者收不到以错误通知形式从网络效劳器发回的信息。

这种攻击由于涉及到猜口令，速度要比标准的SQL注入攻击慢一些。

在这种情况下，你需要一种比拟好的工具。

那就是图4显示的Absinthe工具。

图4:

Absinthe工具在实施SQL盲注攻击测试。

　8.对系统实施逆向工程

　　逆向工程的方法可以查找软件的平安漏洞和内存损坏弱点等漏洞。

在利用软件平安漏洞方面，可以参考GregHoglund和GaryMcGraw合著的“如何破解代码〞一书，你可以发现有关逆向工程方法的一些讨论。

9.Googlehacks

　　Googlehacks利用Google搜索引擎不同寻常的力量搜出可公开的系统泄漏出来的SQL效劳器的错误，如“Incorrectsyntaxnear〞（附近语法错误）。

JohnnyLong编写的“GoogleHackingDatabase〞数据库中一些Google的查询工程。

（查看错误信息和包含口令的文件局部）。

黑客能够使用Google找到口令、网络效劳器中的平安漏洞、根本的操作系统、公开提供的程序以及其它能够用来攻破SQL效劳器系统的东西。

通过Google的“site:

〞操作符把这些查询结合在一起同场可以发现你想不到能够找到的东西。

　10.熟读源代码

　　源代码还能够暴露可能导致SQL效劳器被攻破的信息。

特别是开发人员为了简化身份识别过程把SQL效劳器身份识别信息存储在ASP脚本中的情况下更是如此。

手工评估或者Google能够在一瞬间就发现这个信息。

中国科技大学研究生院陆殿军X强

中科院高能所计算中心--李首杰

概　述

----入侵检测和漏洞检测系统是网络平安系统的一个重要组成局部，它不但可以实现复杂烦琐的信息系统平安管理，而且还可以从目标信息系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击作出反响。

----入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进展统计、自动地收集和系统相关的补丁、进展审计跟踪识别违反平安法规的行为、使用诱骗效劳器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。

----漏洞检测就是对重要计算机信息系统进展检查，发现其中可被黑客利用的漏洞。

这种技术通常采用两种策略，即被动式策略和主动式策略。

被动式策略是基于主机的检测，对系统中不适宜的设置、脆弱的口令以及其他同平安规那么相抵触的对象进展检查；

而主动式策略是基于网络的检测，通过执行一些脚本文件对系统进展攻击，并记录它的反响，从而发现其中的漏洞。

漏洞检测的结果实际上就是系统平安性能的一个评估，它指出了哪些攻击是可能的，因此成为平安方案的一个重要组成局部。

----一个健全的网络信息系统平安方案应该包括平安效用检验、平安审计、平安技术、平安教育与培训、平安机构与程序和平安规那么等内容，是一个复杂的系统工程。

平安技术是其中一个重要的环节，入侵检测和漏洞检测系统是平安技术的核心。

目前经常使用的平安技术有防火墙、防病毒软件、用户认证、加密、入侵检测和漏洞检测系统等。

防火墙作为防护措施中的一层能够起到一定的作用，但事实证明它是不充分的，防火墙充当了外部网和内部网的一个屏障，但并不是所有的外部都是通过防火墙的。

比方，一个未经认证的调制解调器把内部网连到了外部网，就可以绕开防火墙，对系统的平安构成威胁。

此外，平安威胁也可能来自内部，而防火墙本身也极容易被外部黑客攻破。

入侵检测和漏洞检测系统是防火墙的重要补充，并能有效地结合其他网络平安产品的性能，对网络平安进展全方位的保护。

入侵检测

----1．常用的入侵检测技术

----入侵检测技术可分为五种：

----

（1）基于应用的监控技术主要特征是使用监控传感器在应用层收集信息。

由于这种技术可以更准确地监控用户某一应用的行为，所以这种技术在日益流行的电子商务中也越来越受到注意，其缺点在于有可能降低技术本身的平安。

----

（2）基于主机的监控技术主要特征是使用主机传感器监控本系统的信息。

这种技术可以用于分布式、加密、交换的环境中监控，把特定的问题同特定的用户联系起来；

其缺点在于主机传感器要和特定的平台相关联，对网络行为不易领会，同时加大了系统的负担。

----（3）基于目标的监控技术主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进展监控。

这种技术不依据历史数据，系统开销小，可以准确地确定受攻击的部位，受到攻击的系统容易恢复；

其缺点在于实时性较差，对目标的检验数依赖较大。

----（4）基于网络的监控技术主要特征是网络监控传感器监控包监听器收集的信息。

该技术不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源；

其缺点在于如果数据流进展了加密，就不能审查其内容，对主机上执行的命令也感觉不到。

此外，该技术对高速网络不是特别有效。

----（5）综合以上4种方法进展监控其特点是可提高侦测性能，但会产生非常复杂的网络平安方案，严重影响网络的效率，而且目前还没有一个统一的业界标准。

----2.入侵检测技术的选用

----在使用入侵检测技术时，应该注意具有以下技术特点的应用要根据具体情况进展选择：

----

（1）信息收集分析时间：

可分为固定时间间隔和实时收集分析两种。

采用固定时间间隔方法，通过操作系统审计机制和其他基于主机的登录信息，入侵检测系统在固定间隔的时间段内收集和分析这些信息，这种技术适用于对平安性能要求较低的系统，对系统的开销影响较小；

但这种技术的缺点是显而易见的，即在时间间隔内将失去对网络的保护。

采用实时收集和分析技术可以实时地抑制攻击，使系统管理员及时了解并阻止攻击，系统管理员也可以记录黑客的信息；

缺点是加大了系统开销。

----

（2）采用的分析类型：

可分为签名分析、统计分析和完整性分析。

签名分析就是同攻击数据库中的系统设置和用户行为模式匹配。

在许多入侵检测系统中，都建有这种攻击的数据库。

这种数据库可以经常更新，以对付新的威胁。

签名分析的优点在于能够有针对性地收集系统数据，减少了系统的开销，如果数据库不是特别大，那么签名分析比统计分析更为有效，因为它不需要浮点运算。

----统计分析用来发现偏离正常模式的行为，通过分析正常应用的属性得到系统的统计特征，对每种正常模式计算出均值和偏差，当侦测到有的数值偏离正常值时，就发出报警信号。

这种技术可以发现未知的攻击，使用灵活的统计方法还可以侦测到复杂的攻击。

当然，如果高明的黑客逐渐改变入侵模式，那么还是可以逃避侦测的，而且统计传感器发出虚警的概率就会变大。

----完整性分析主要关注某些文件和对象的属性是否发生了变化。

完整性分析通过被称为消息摘录算法的超强加密机制，可以感受到微小的变化。

这种分析可以侦测到任何使文件发生变化的攻击，弥补了签名分析和统计分析的缺陷，但是这种分析的实时性很差。

----（3）侦测系统对攻击和误用的反响：

有些基于网络的侦测系统可以针对侦测到的问题作出反响，这一特点使得网络管理员对付诸如拒绝效劳一类的攻击变得非常容易。

这些反响主要有改变环境、效用检验、实时通知等。

当系统侦测到攻击时，一个典型的反响就是改变系统的环境，通常包括关闭联接，重新设置系统。

由于改变了系统的环境,因此可以通过设置代理和审计机制获得更多的信息，从而能跟踪黑客。

狡猾的黑客通常瞄准侦测传感器和分析引擎进展攻击，在这种情况下，就有必要对这些传感器和引擎进展效用评估，看它们能否正常工作。

许多实时系统还允许管理员选择一种预警机制，把发生的问题实时地送往各个地方。

----（4）侦测系统的管理和安装：

用户采用侦测系统时，需要根据本网的一些具体情况而定。

实际上，没有两种完全一样的网络环境，因此，就必须对采用的系统进展配置。

比方，可以配置系统的网络地址、平安条目等。

某些基于主机的侦测系统还提供友好的用户界面，让用户说明要传感器采集哪些信息。

一个好的侦测系统会为用户带来方便，让用户记录系统中发生的平安问题，在运行侦测系统的时候，还可以说明一些控制功能和效用检验机制。

----（5）侦测系统的完整性：

所谓完整性就是系统自身的平安性，鉴于侦测系统的巨大作用，系统设计人员要对系统本身的自保性能有足够的重视，黑客在发动攻击之前首先要对平安机制有足够的了解后才会攻击，所以侦测系统完整性就成为必须解决的问题，经常采用的手段有认证、超强加密、数字签名等，确保合法使用，保证通信不受任何干扰。

----（6）设置诱骗效劳器：

有的侦测系统还在平安构架中提供了诱骗效劳器，以便更准确地确定攻击的威胁程度。

诱骗效劳器的目的就是吸引黑客的注意力，把攻击导向它，从敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质，随后把这些信息送到一个平安的地方，供以后查用。

这种技术是否采用可根据网络的自身情况而定。

漏洞检测

----1.分类

----漏洞检测技术可分为5种：

----

（1）基于应用的检测技术它采用被动的、非破坏性的方法检查应用软件包的设置，发现平安漏洞。

----

（2）基于主机的检测技术它采用被动的、非破坏性的方法对系统进展检测。

通常，它涉及到系统的内核、文件的属性、操作系统的补丁等问题。

这种技术还包括口令解密，把一些简单的口令剔除。

因此，这种技术可以非常准确地定位系统存在的侍猓⑾窒低陈┒础Ｋ娜钡闶怯肫教ㄏ喙兀陡丛印?

/P>

----（3）基于目标的检测技术它采用被动的、非破坏性的方法检查系统属性和文件属性，如数据库、注册号等。

通过消息文摘算法，对文件的加密数进展检验。

其根本原理是消息加密算法和哈希函数，如果函数的输入有一点变化，那么其输出就会发生大的变化，这样文件和数据流的细微变化都会被感知。

这些算法加密强度极大，不易受到攻击，并且其实现是运行在一个闭环上，不断地处理文件和系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比拟，一旦发现改变就通知管理员。

----（4）基于网络的检测技术它采用积极的、非破坏性的方法来检验系统是否有可能被攻击崩溃。

它利用了一系列的脚本对系统进展攻击，然后对结果进展分析。

网络检测技术常被用来进展穿透实验和平安审计。

这种技术可以发现平台的一系列漏洞，也容易安装。

但是，它容易影响网络的性能，不会检验不到系统内部的漏洞。

----（5）综合的技术它集中了以上4种技术的优点，极大地增强了漏洞识别的精度。

----2.特点

----

（1）检测分析的位置：

在漏洞检测中，第一步是收集数据，第二步是数据分析。

在大型网络中，通常采用控制台和代理结合的构造，这种构造特别适用于异构型网络，容易检测不同的平台。

在不同威胁程度的环境下，可以有不同的检测标准。

----

（2）报表与安装：

漏洞检测系统生成的报表是理解系统平安状况的关键，它记录了系统的平安特征，针对发现的漏洞提出需要采取的措施。

整个漏洞检测系统还应该提供友好的界面及灵活的配置特性。

平安漏洞数据库可以不断更新补充。

----（3）检测后的解决方案：

一旦检测完毕，如果发现了漏洞，那么系统可有多种反响机制。

预警机制可以让系统发送消息、电子、传呼等来报揭发现了漏洞。

报表机制那么生成综合的报表列出所有的漏洞。

根据这些报告可以采用有针对性的补救措施。

同侦测系统一样，漏洞检测有许多管理功能,通过一系列的报表可让系统管理员对这些结果做进一步的分析。

----（4）检测系统本身的完整性：

同样，这里有许多设计、安装、维护检测系统要考虑的平安问题。

平安数据库必须平安，否那么就会成为黑客的工具，因此，加密就显得特别重要。

由于新的攻击方法不断出现，所以要给用户提供一个更新系统的方法，更新的过程也必须给予加密，否那么将产生新的危险。

实际上，检测系统本身就是一种攻击，如果被黑客利用，那么就会产生难以预料的后果。

因此，必须采用XX措施，使其不会被黑客利用。

实现模型

----入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的，不同的网络拓扑对入侵检测和漏洞检测系统的构造和功能有不同的要求。

通常情况下该系统在网络系统中可设计为两个局部：

平安效劳器〔Securityserver〕和侦测代理〔Agent〕。

----如附图所示，侦测代理分布在整个网络中，大体上有三种：

一是主机侦测代理，二是网络设备侦测代理，三是公用效劳器侦测代理。

----主机代理中有主机侦测代理和主机漏洞检测代理两种类型，其中侦测代理动态地实现探测入侵信号，并作出相应的反响；

漏洞检测代理检测系统的配置、日志等，把检测到的信息传给平安效劳器和用户。

----在网段上有唯一的代理负责本网段的平安。

该代理主要完本钱网段的入侵检测。

----在防火墙的外部还需有专门的代理负责公用效劳器的平安，这些代理也要有侦测代理和主机漏洞检测代理两种类型。

在平安效劳器上，有一个网络漏洞检测代理从远程对网络中的主机进展漏洞检测。

----入侵检测代理在构造上由传感器、分析器、通信管理器等部件组成。

顾名思义，传感器就是平安信息感受器，它侦测诸如屡次不合法的登录，对端口进展扫描等信息。

传感器中有过滤正常和非正常信息的能力，它只承受有意义的平安信息。

分析器首先接收来自传感器的信息，把这些信息同正常数据相比拟，将结果送往通信管理器，并动态地作出一定的反响。

通信管理器再把这些信息分类，送往平安效劳器。

----漏洞检测代理在构造上由检测器、检测单元、通信管理器等部件组成。

检测器是检测单元的管理器，它决定如何调度检测单元。

检测单元是一系列的检测项，通常是一些脚本文件。

通信管理器把检测的结果发给用户和平安效劳器。

----每一个主机代理感受敏感的平安信息，对这些信息进展处理，作出反响，然后把一些信息交给网段代理和平安效劳器处理。

网段代理对本网段的平安负责，它一边监视本网段的情况，一边向平安效劳器汇报。

----平安效劳器中包含网络平安数据库、通信管理器、联机信息处理器等部件，它的主要功能是和每一个代理进展相互通信，实时处理所有从各代理发来的信息，作出响应的反映，同时对本网的各平安参数进展审计和记录日志，为完善网络的平安性能提供参数。

它还有一个重要的功能就是控制防火墙。

从图中可以看出这些部件相互协作，为整个系统提供了一个分布式的、完整的解决方案。

结　论

----入侵检测和漏洞检测技术是计算机网络系统平安解决方案中非常重要的局部，它极大地提高了整个系统的平安性能。

一个分布式的解决方案可以可靠地实现网络信息系统的平安。

通过部署入侵检测和漏洞检测系统可以实现：

支持内部审计、责任曝光、突发事件处理与调查、估计损失与迅速恢复、改善平安管理过程、发现新的问题、记录系统发生的问题等。

总之，入侵检测和漏洞检测技术是一项非常重要的技术，它的完美实现会给计算机网络平安带来革命性的变化。

黑客常用的八种工具及其防御方法

您是怎样对待黑客及黑客现象的?

崇拜?

不齿?

还是畏惧?

本文将向您介绍中国黑客常用的八种工具及其防御方法。

需要说明的是，这些只是初级黑客、甚至是不算黑客的“黑客〞所使用的工具。

在真正的黑客看来这些工具是很初级的，但这些黑客工具对我们普通用户的杀伤力却是非常大的，因此有必要介绍一下它们的特点及防御方法。

冰河

冰河是最优秀的国产木马程序之一，同时也是被使用最多的一种木马。

说句心里话，如果这个软件做成规规矩矩的商业用远程控制软件，绝对不会逊于那个体积庞大、操作复杂的PCanywhere，但可惜的是，它最终变成了黑客常用的工具。

冰河的效劳器端（被控端）和客户端（控制端）都是一个可执行文件，客户端的图标是一把瑞士军刀，效劳器端那么看起来是个没什么大不了的微缺乏道的程序，但就是这个程序，足以让你的电脑成为别人的掌中之物。

某台电脑执行了效劳器端软件后，该电脑的7626端口（默认）就对外开放了，如果在客户端输入这台电脑的IP地址，就能完全控制这台电脑。

由于个人电脑每次上网的IP地址都是随机分配的，所以客户端软件有一个“自动搜索〞功能，可以自动扫描某个IP段受感染的电脑，一旦找到，这台电脑就尽在黑客的掌握之中了。

由于冰河程序传播比拟广泛，所以一般情况下，几分钟之内就能找到一个感染了冰河的受害者。

防御措施:

首先不要轻易运行来历不明的软件，只要效劳器端不被运行，冰河再厉害也是有力使不出，这一点非常重要;

其次由于冰河的广泛流行，使得大多数杀毒软件可以查杀冰河，因此在运行一个新软件之前用杀毒软件查查是很必要的。

但由于该软件变种很多，杀毒软件如果不及时升级，难免会有遗漏，因此要保证您使用的杀毒软件病毒库保持最新。

用查杀木马软件如木马克星之类的也可以;

安装并运行防火墙，如此那么能相对平安一些。

Wnuke

Wnuke可以利用Windows系统的漏洞,通过TCP/IP协议向远程机器发送一段信息，导致一个OOB错误，使之崩溃。

现象:

电脑屏幕上出现一个蓝底白字的提示:

“系统出现异常错误〞，按ESC键后又回到原来的状态，或者死机。

它可以攻击WIN9X、WINNT、WIN2000等系统,并且可以自由设置包的大小和个数，通过连续攻击导致对方死机。

不要轻易点击别人在论坛或聊天室告诉您的网址，那很可能是探测您的IP地址的（如Iphunter就可以做到这一点）;

用写字板或其它的编辑软件建立一个文本文件，文件名为OOBFIX.REG，内容如下:

REGEDIT4

[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP]

″BSDUrgent″=″0″

启动资源管理器，双击该文件即可;

安装并运行防火墙。

Shed

Shed是基于NetBIOS的攻击Windows的软件。

NetBIOS（NetworkBasicInputOutputSystem，网络根本输入输出系统），是一种应用程序接口（API），作用是为局域网（LAN）添加特殊功能，几乎所有的局域网电脑都是在NetBIOS根底上工作的。

在我们的Windows95、99、或Me中，NetBIOS是和TCP/IP捆绑在一起的,这是十分危险的!

但当我们安装TCP/IP协议时，默认情况下NetBIOS和它的文件与打印共享功能也一起被装进了系统。

当NetBIOS运行时，你的后门翻开了:

因为NetBIOS不光允许局域网内的用户你的硬盘资源，Internet上的黑客也能!

Shed正是利用了这一点。

1）检查NetBEUI是否出现在配置栏中。

翻开控制面版，双击“网络〞选项，翻开“网络〞对话框。

在“配置〞标签页中检查己安装的网络组件中是否有NetBEUI。

如果没有，点击列表下边的添加按钮，选中“网络协议〞对话框，在制造商列表中选择微软，在网络协议列表中选择NetBEUI。

点击确定，根据提示插入安装盘，安装NetBEUI。

2）回到“网络〞对话框，选中“拨号网络适配器〞，点击列表右下方“属性〞按钮。

在翻开的“属性〞对话框中选择“绑定〞标签页，将除“TCP/IP->

网络适配器〞之外的其它工程前复选框中的对勾都取消!

3）回到“网络〞对话框，选中“TCP/IP->

拨号网络适配器〞点击列表右下方“属性〞按钮，不要怕弹出的警告对话框，点击“确定〞。

在“TCP/IP属性〞对话框中选择“绑定〞标签页，将列表中所有工程前复选框中的对勾都取消!

点击“确定〞，这时Windows会警告你“尚未选择绑定的驱动器。

现在是否选择驱动器?

〞点击“否〞。

之后，系统会提示重新启动计算机，确认。

4）重新进入“TCP/IP->

拨号网络适配器〞的“TCP/IP属性〞对话框，选定“NetBIOS〞标签页，看到“通过TCP/IP启用NetBIOS〞项被去除了吧!

连点两次“取消〞退出“网络〞对话框（不要点“确认〞，免得出现什么意外）。

Superscan是一个功能强大的扫描器，速度奇快，探测XX全部回应值小于200MS的IP段仅用6个小时。

可以查看本机IP地址和域名，扫描一个IP段的所有在线主机以及其可探测到的端口号。

而且可以保存和导入所有已探测的信息。

及时打补丁堵住漏洞。

微软的那些没完没了的补丁包是有用的，很多时候，这些补丁能有效堵住漏洞使我们的系统更平安一些。

尽管补丁包出现总会晚于漏洞的出现，但作为亡羊补牢的措施还是有必要的。

ExeBind

ExeBind可以将指定的黑客程序捆绑到任何一个广为传播的热门软件