利用數(shù)據(jù)庫漏洞掃描評估數(shù)據(jù)庫安全性 4 弱口令掃描

利用數(shù)據(jù)庫漏洞掃描評估數(shù)據(jù)庫安全性4弱口令掃描在前面，游俠給大家介紹了數(shù)據(jù)庫漏洞掃描的一些知識，并且發(fā)起了一次針對Oracle數(shù)據(jù)庫的“授權(quán)掃描”，現(xiàn)在我們進行一次“弱口令掃描”，因為弱口令實在是數(shù)據(jù)庫幾乎最大的威脅，所以，在數(shù)據(jù)庫漏洞掃描中專列了“弱口令掃描”。本項的目標依然是Oracle數(shù)據(jù)庫。發(fā)起掃描的方式如前面文章所言，在任務(wù)上鼠標右鍵“弱口令掃描”TO■按告苣理琛掃蒲類[>■*Oracle1<授權(quán)掃描弱口令掃侖癥權(quán)掃描瀋適攻擊尿新J上任務(wù)分組發(fā)起掃描的方式如前面文章所言，在任務(wù)上鼠標右鍵“弱口令掃描”TO■按告苣理琛掃蒲類[>■*Oracle1<授權(quán)掃描弱口令掃侖癥權(quán)掃描瀋適攻擊尿新J上任務(wù)分組丿左游俠寶全網(wǎng)執(zhí)行時訶:從2012/1V23:至2012/12/23:MSSQLJMySQLLfif時阿vD12-12-2320:59:3&滴庫數(shù)據(jù)庫漏洞掃描會列出任務(wù)包含的數(shù)據(jù)庫服務(wù)器地址，填入數(shù)據(jù)庫登錄信息，這里用戶名是sys,連接身份是sysdba

接下來進行弱口令掃描配置，我選擇的默認字典，有上萬個常見的弱口令，當(dāng)然你也可以基于規(guī)則進行掃描，或者窮舉。確認后就開始自動嘗試Oracle數(shù)據(jù)庫的弱口令了，并且會有實時掃描狀態(tài)顯示:弱口令檢查-口令字典槻則［CTXSYS］密碼未隱藏詳倩 取i肖弱口令檢查-口令字典擲則【CTX計町?密碼未il過掃描完畢后會列出數(shù)據(jù)庫弱口令掃描概況，我們看到發(fā)現(xiàn)25個弱口令用戶。導(dǎo)出弱口令掃描報告：數(shù)抿庫鞍信息IF地址、192.16B.1.4-5.!湍口號、1521.nOxaDlE.i實例容,ORCL.n掃描信息，開始時間、2012-12-2322:42:3b.-.結(jié)束時間、2012-12-2322:44:48.!檢測卿、菊匚脅掃描?,掃描結(jié)果用戶容、密碼、用戶狀態(tài)、破解方式、等級，SCOTT.,TIGER.,EXPIRED&LOCKED.,默認弱口令宇典?,低鳳磴SH.nCHANGE.ON.INSTALL.,EXFIRED&LOCKED.,默認弱口令字典低鳳瞼■SI_IHFOEMTN_SCHEMA.nSI_INFORMTN_SCHEMA.,EXFIRED&LOCKED.,默認弱口令字典低鳳瞼■SYS.nORACLE.,OFEN.,默認弱口令宇典'SYSMA1T.,ORACLE.,OFEN.,默認弱口令宇典'SYSTEM.,ORACLE.,OFEN.,默認弱口令宇典?,高鳳磴.■TSMSYS.,TSMSYS.,EXPIRED&LOCKED.,默認弱口令宇典?,低鳳磴WMSYS.,WMSYS.,EXPIRED&LOCKED.,默認弱口令宇典?,低鳳磴列出了用戶名、密碼、用戶狀態(tài)、破解方式、等級。利用數(shù)據(jù)庫漏洞掃描系統(tǒng)可以很方便的評估