在前面我们给大家介绍了数据庫漏洞扫描的一些知识,并且发起了一次针对Oracle数据库的“授权扫描”现在我们进行一次“弱口令扫描”,因为弱口令实在是数据库几乎朂大的威胁所以,在数据库漏洞扫描中专列了“弱口令扫描”本项的目标依然是Oracle数据库。
发起扫描的方式如前面文章所言在任务上鼠标右键“弱口令扫描”
数据库漏洞扫描会列出任务包含的数据库服务器地址,填入数据库登录信息这里用户名是sys,连接身份是sysdba
接下来進行弱口令扫描配置我选择的默认字典,有上万个常见的弱口令当然你也可以基于规则进行扫描,或者穷举
确认后就开始自动尝试Oracle數据库的弱口令了,并且会有实时扫描状态显示:
扫描完毕后会列出数据库弱口令扫描概况我们看到发现25个弱口令用户。
列出了用户名、密码、用户状态、破解方式、等级
利用数据库漏洞扫描系统可以很方便的评估各类常见数据库的密码强壮程度,适合用于日常的数据庫安全评估、等级保护测评等场合