डेटाबेस परीक्षण - सुरक्षा
डेटाबेस सुरक्षा परीक्षण सुरक्षा तंत्र में खामियों को खोजने के लिए किया जाता है और डेटाबेस प्रणाली की कमजोरियों या कमजोरियों को खोजने के बारे में भी।
डेटाबेस सुरक्षा परीक्षण का मुख्य लक्ष्य एक प्रणाली में कमजोरियों का पता लगाना है और यह निर्धारित करना है कि इसका डेटा और संसाधन संभावित घुसपैठियों से सुरक्षित हैं। नियमित रूप से किए जाने पर सुरक्षा परीक्षण संभावित कमजोरियों को प्रभावी ढंग से पहचानने का एक तरीका निर्धारित करता है।
डेटाबेस सुरक्षा परीक्षण करने के प्राथमिक उद्देश्य नीचे दिए गए हैं -
- Authentication
- Authorization
- Confidentiality
- Availability
- Integrity
- Resilience
एक डेटाबेस सिस्टम पर धमकी के प्रकार
एसक्यूएल इंजेक्षन
यह डेटाबेस सिस्टम में सबसे सामान्य प्रकार का हमला है, जिसमें डेटाबेस सिस्टम में दुर्भावनापूर्ण SQL स्टेटमेंट डाले जाते हैं और डेटाबेस सिस्टम से महत्वपूर्ण जानकारी प्राप्त करने के लिए इसे निष्पादित किया जाता है। यह हमला उपयोगकर्ता अनुप्रयोगों के कार्यान्वयन में खामियों का फायदा उठाता है। इसे रोकने के लिए, उपयोगकर्ता इनपुट फ़ील्ड को सावधानीपूर्वक संभाला जाना चाहिए।
डेटाबेस में विशेषाधिकार उन्नयन
इस हमले में, एक उपयोगकर्ता के पास पहले से ही डेटाबेस सिस्टम में कुछ एक्सेस है और वह केवल इस एक्सेस को उच्च स्तर तक ऊंचा करने की कोशिश करता है ताकि वह डेटाबेस सिस्टम में कुछ अनधिकृत गतिविधियां कर सके।
सेवा की मनाई
इस प्रकार के हमले में, एक हमलावर अपने वैध उपयोगकर्ताओं के लिए डेटाबेस सिस्टम या एप्लिकेशन संसाधन अनुपलब्ध बनाता है। एप्लिकेशन को उन तरीकों से भी हमला किया जा सकता है जो एप्लिकेशन को प्रस्तुत करते हैं, और कभी-कभी पूरी मशीन, अनुपयोगी।
डेटा तक अनधिकृत पहुंच
एक अन्य प्रकार का हमला किसी एप्लिकेशन या डेटाबेस सिस्टम के भीतर डेटा तक अनधिकृत पहुंच प्राप्त कर रहा है। अनधिकृत पहुंच में शामिल हैं -
- उपयोगकर्ता आधारित अनुप्रयोगों के माध्यम से डेटा तक अनधिकृत पहुंच
- दूसरों की पहुंच की निगरानी करके अनधिकृत पहुंच
- पुन: प्रयोज्य ग्राहक प्रमाणीकरण जानकारी तक अनधिकृत पहुँच
पहचान स्पूफिंग
पहचान स्पूफिंग में, एक हैकर एक उपयोगकर्ता या डिवाइस के क्रेडेंशियल्स का उपयोग नेटवर्क होस्ट के खिलाफ हमले शुरू करने, डेटा चोरी करने या डेटाबेस सिस्टम पर पहुंच नियंत्रण बायपास करने के लिए करता है। इस हमले को रोकने के लिए आईटी-अवसंरचना और नेटवर्क-स्तरीय शमन की आवश्यकता है।
डेटा मेनिपुलेशन
डेटा हेरफेर हमले में, एक हैकर कुछ लाभ प्राप्त करने या डेटाबेस मालिकों की छवि को नुकसान पहुंचाने के लिए डेटा बदलता है।
डेटाबेस सुरक्षा परीक्षण तकनीक
भेदन परीक्षण
एक प्रवेश परीक्षा एक कंप्यूटर सिस्टम पर सुरक्षा खामियों को खोजने के इरादे से हमला है, जो संभावित रूप से इसे प्राप्त कर रहा है, इसकी कार्यक्षमता और डेटा।
जोखिम ढूँढना
जोखिम ढूँढना नुकसान के प्रकार और जोखिम की घटना की संभावना से जुड़े जोखिम का आकलन और निर्णय लेने की एक प्रक्रिया है। यह विभिन्न साक्षात्कारों, चर्चाओं और विश्लेषण द्वारा संगठन के भीतर निर्धारित किया जाता है।
एसक्यूएल इंजेक्शन टेस्ट
इसमें एप्लिकेशन फ़ील्ड में उपयोगकर्ता इनपुट की जांच करना शामिल है। उदाहरण के लिए, ',' या ';' उपयोगकर्ता एप्लिकेशन में किसी भी टेक्स्ट बॉक्स को अनुमति नहीं दी जानी चाहिए। जब डेटाबेस त्रुटि होती है, तो इसका मतलब है कि उपयोगकर्ता इनपुट को कुछ क्वेरी में डाला जाता है, जिसे बाद में एप्लिकेशन द्वारा निष्पादित किया जाता है। ऐसे मामले में, एप्लिकेशन SQL इंजेक्शन के लिए असुरक्षित है।
ये हमले डेटा के लिए एक बड़ा खतरा हैं क्योंकि हमलावर सर्वर डेटाबेस से महत्वपूर्ण जानकारी तक पहुंच प्राप्त कर सकते हैं। अपने वेब एप्लिकेशन में SQL इंजेक्शन प्रविष्टि बिंदुओं की जांच करने के लिए, अपने कोड आधार से कोड का पता लगाएं जहां कुछ उपयोगकर्ता इनपुट को स्वीकार करके डेटाबेस पर प्रत्यक्ष MySQL प्रश्नों को निष्पादित किया जाता है।
SQL इंजेक्शन परीक्षण ब्रैकेट, कॉमास और उद्धरण चिह्नों के लिए किया जा सकता है।
पासवर्ड क्रैकिंग
डेटाबेस सिस्टम टेस्टिंग करते समय यह सबसे महत्वपूर्ण जाँच है। महत्वपूर्ण जानकारी तक पहुंचने के लिए, हैकर्स पासवर्ड-क्रैकिंग टूल का उपयोग कर सकते हैं या एक सामान्य उपयोगकर्ता नाम / पासवर्ड का अनुमान लगा सकते हैं। ये सामान्य पासवर्ड इंटरनेट पर आसानी से उपलब्ध हैं और पासवर्ड क्रैकिंग टूल भी स्वतंत्र रूप से मौजूद हैं।
इसलिए, परीक्षण के समय यह जांचना आवश्यक है कि सिस्टम में पासवर्ड नीति बनी हुई है या नहीं। किसी भी बैंकिंग और वित्त अनुप्रयोगों के मामले में, सभी महत्वपूर्ण सूचना डेटाबेस प्रणालियों पर एक सख्त पासवर्ड नीति निर्धारित करने की आवश्यकता है।
डेटाबेस सिस्टम का सिक्योरिटी ऑडिट
एक सुरक्षा ऑडिट एक नियमित समय अंतराल पर कंपनी की सुरक्षा नीतियों का मूल्यांकन करने की एक प्रक्रिया है, यह निर्धारित करने के लिए कि क्या आवश्यक मानकों का पालन किया जाता है या नहीं। सुरक्षा नीति को परिभाषित करने के लिए व्यावसायिक आवश्यकता के अनुसार विभिन्न सुरक्षा मानकों का पालन किया जा सकता है और फिर उन मानकों के विरुद्ध निर्धारित नीतियों का मूल्यांकन किया जा सकता है।
सबसे आम सुरक्षा मानकों का उदाहरण आईएसओ 27001, बीएस 15999, आदि हैं।
डेटाबेस सुरक्षा परीक्षण उपकरण
बाजार में विभिन्न प्रणाली परीक्षण उपकरण उपलब्ध हैं, जिनका उपयोग ओएस और एप्लिकेशन चेक का परीक्षण करने के लिए किया जा सकता है। सबसे आम उपकरणों में से कुछ नीचे चर्चा की गई है।
जेड हमला प्रॉक्सी
यह वेब अनुप्रयोगों में भेद्यता खोजने के लिए एक पैठ-परीक्षण उपकरण है। यह लोगों द्वारा सुरक्षा अनुभव की एक विस्तृत श्रृंखला के साथ उपयोग करने के लिए डिज़ाइन किया गया है और जैसे कि डेवलपर्स और कार्यात्मक परीक्षकों के लिए आदर्श है जो पैठ परीक्षण के लिए नए हैं। यह आमतौर पर विंडोज, लिनक्स, मैक ओएस के लिए उपयोग किया जाता है।
Paros
सर्वर और क्लाइंट के बीच सभी HTTP और HTTPS डेटा, जिसमें कुकीज़ और फॉर्म फ़ील्ड शामिल हैं, इन स्कैनर का उपयोग करके इंटरसेप्ट और संशोधित किया जा सकता है। इसका उपयोग क्रॉस-प्लेटफॉर्म, जावा JRE / JDK 1.4.2 या इसके बाद के संस्करण के लिए किया जाता है।
सोशल इंजीनियर टूलकिट
यह एक खुला स्रोत उपकरण है और मानव तत्वों पर सिस्टम तत्व के बजाय हमला किया जाता है। यह आपको हमले कोड वाले ईमेल, जावा एप्लेट आदि भेजने में सक्षम बनाता है। यह लिनक्स, एप्पल मैक ओएस एक्स और माइक्रोसॉफ्ट विंडोज के लिए पसंद किया जाता है।
Skipfish
इस उपकरण का उपयोग कमजोरियों के लिए उनकी साइटों को स्कैन करने के लिए किया जाता है। उपकरण द्वारा उत्पन्न रिपोर्टें पेशेवर वेब अनुप्रयोग सुरक्षा आकलन के लिए एक आधार के रूप में काम करने के लिए होती हैं। यह लिनक्स, फ्रीबीएसडी, मैकओएस एक्स और विंडोज के लिए पसंद किया जाता है।
वेगा
यह एक खुला स्रोत है, मल्टीप्लायर वेब सुरक्षा उपकरण जिसका उपयोग SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग (XSS), और वेब अनुप्रयोगों में अन्य कमजोरियों के उदाहरण खोजने के लिए किया जाता है। यह जावा, लिनक्स और विंडोज के लिए पसंद किया जाता है।
Wapiti
WAPiti एक खुला स्रोत और वेब-आधारित उपकरण है जो वेब एप्लिकेशन के वेब पेजों को स्कैन करता है और स्क्रिप्ट और उन रूपों की जांच करता है जहां यह डेटा इंजेक्ट कर सकता है। यह पायथन के साथ बनाया गया है और फ़ाइल हैंडलिंग त्रुटियों, डेटाबेस, XSS, LDAP और CRLF इंजेक्शन, कमांड निष्पादन का पता लगा सकता है।
वेब स्कारब
यह जावा में लिखा गया है और इसका उपयोग उन अनुप्रयोगों के विश्लेषण के लिए किया जाता है जो HTTP / HTTPS प्रोटोकॉल के माध्यम से संवाद करते हैं। यह उपकरण मुख्य रूप से डेवलपर्स के लिए डिज़ाइन किया गया है जो स्वयं कोड लिख सकते हैं। यह उपकरण OS निर्भर नहीं है।