|
|
|
手把手教你:企业服务器SQL Server弱口令测试
时间:2008-12-31 02:14:57 |
对于企业而言,服务器的重要性是不言而喻的。因此管理员们往往以维持服务器的稳定、高效地运行作为自己的工作目标,但是对于服务器的安全性往往考虑得较少,至少对于某些管理员是这样的。 oracle帮您准确洞察各个物流环节 企业服务器安全性测试 SQL Server弱口令测试 对于企业而言,服务器的重要性是不言而喻的。因此管理员们往往以维持服务器的稳定、高效地运行作为自己的工作目标,但是对于服务器的安全性往往考虑得较少,至少对于某些管理员是这样的。 最近笔者进行了一例服务器的安全测试,下面把这例测试过程写下来,希望对大家有所启示。 测试工具: 1.S扫描器(一种速度极快的多线程命令行下的扫描工具) 2.SQL登陆器 3.DNS溢出工具 4.cmd(微软命令行工具) 4.scansql.exe(SQL弱口令扫描工具) SQL Server弱口令测试 1.缘由: SQL Server是很多中小型企业、事业单位的首选数据库系统,由于一些管理员的疏忽或者安全意识淡薄,总是以数据库默认的用户SA登录数据库,并且采用了默认的空密码或者设置了若口令。 2.测试: 以笔者本机IP为中心,随机选取了一个IP段进行测试。 第一步:在命令提示符下运行s扫描器,输入一个IP段: s syn 61.178.*.1 61.178.*.254 1433 扫描到13个开了1433端口的服务器。(图1) 第二步:把扫描结果保存为一个文本文件,然后用scansql.exe工具对这些IP进行若口令检测,检测到2个弱口令的IP。然后打开SQL连接器,输入其中一个若口令I,账户"sa“空密码连接成功如图2。然后敲命令”dir c:“,可以执行,如图3。这样就等于获得了一个具有system权限的shell(比管理员权限还高!),至此这台数据库服务器沦陷。(图2)(图3) 总结:虽然从上面这个IP段得到的存在SQL弱口令的服务器并不多,但如果存在弱口令并且被攻击者者利用,那对数据库服务器的打击将是毁灭性的,管理员们一定要加固数据库的口令。 【相关文章】 Microsoft SQL Server SA弱口令攻防实战 SQL Server的几个安全问题个个谈 SQL Server SA空口令的渗透测试日记【责任编辑:于捷 TEL:(010)68476606】 关于 服务器 测试 安全 的 文 章博 文帖 子 · 保护Windows机密数据远离Google黑客(12/29)· Avocent协助优化分布式数据中心的管理(05/29)· 专家建议:信息安全产品须使用国产化产品(05/27)· 网络层访问权限控制技术-ACL详解(05/14)· 保护DNS服务器十大技巧(04/17) · 配置高级安全Windows Vista防火墙· 微软专业讲师教程-经测试可以下载· 14招教你保护路由器安全的方法(转载)· 实验——LINUX常用网络测试命令· 实验——Windows常用网络测试命令
|
|
|
400-6767-125 0530-6162566 
