攻击MSSQL弱口令深度字典攻击分析

攻击MSSQL弱口令深度字典攻击分析

MSSQL是Microsoft SQL Server的缩写，是一种开放式的关系数据库管理系统，已广泛用于信息系统和利用中，是目前经常使用的关系数据库管理系统之一。MSSQL弱口令深度字典攻击，也就是攻击者利用MSSQL服务器上弱口令这一可被利用的缺点，通过指定的字典枚举出这些弱口令，来实现登录数据库，获知数据库中的资料，进而实现侵入数据库服务器的攻击行动，从而可能造成重大的安全隐患，是攻击者经常使用的攻击方式之一。

MSSQL弱口令深度字典攻击，是利用了MSSQL服务器中的弱口令缺点，针对弱口令建立一个包括大量经常使用登陆口令的字典文件，比如：abc、abc123、admin、1234、1111等等，然后将字典文件中的内容一起在MSSQL服务器上运行摸索性登录，通过摸索发现弱口令，从而获得数据库的访问权限。

MSSQL弱口令深度字典攻击的算法可以用伪代码描写以下：

/*

建立字典文件

*/

DictionaryFile= openFile(‘Dictionary.txt’)

/*

连接MSSQL服务器

*/

connectMSSQLServer (username, password)

/*

循环遍历字典文件中的每行口令

*/

foreach line in DictionaryFile:

username=getUsernameInMSSQLServer()

password=getPasswordFromDictionaryFile()

/*

尝试登录MSSQL服务器

*/

if connectedMSSQLServer(username,password)：

getMSSQLDataInformation()

break;

endif

endfor

MSSQL弱口令深度字典攻击已成为攻击者重要的攻击策略。为了防范这类攻击，建议控制MSSQL服务器的登录用户名、口令的设置，不宜设置过于普遍的口令，且创建MSSQL用户产生的口令越复杂，越难以破解。另外，应当增加对MSSQL服务器的访问安全验证、密码锁定等安全措施，以有效下降这类攻击的可能性，从而保证数据安全。