Oracle Password Cracker (Checker)
Definisi : Adalah script yang ditulis dalam PL/SQL digunakan untuk membantu DBA melakukan pengecekan weakness/strength user password.
Keuntungan :
- Mudah di jalankan di sqlplus
- Tidak menggunakan library
- Mudah dipelajari
- Dapat melakukan pengecekan terhadap weakness/strength user password yang complex dan panjang sekalipun dengan cepat.
- Karena script ini di jalankan di database, DBA dapat melakukan blocking hal yang tidak diinginkan dengan mendesign user prilivileges seminimal mungkin. Contohnya jika menggunakan privileges untuk CREATE SESSION, SELECT ON SYS.USER$ dan EXECUTE ON DBMS_OBFUSCATION_TOOLKIT.
Cara Kerja :
- Download cracker-v2.0.sql. Source dapat dicari di http://www.petefinnigan.com.
- Letakkan source di $ORACLE_HOME/BIN atau directory mana saja. Pastikan oracle dapat membaca source tersebut.
- Buka SQLPLUS di Oracle dan jalankan script seperti contoh di bawah ini :
SQL> @cracker-v2.0.sql cracker: Release 1.0.4.0.0 - Beta on Fri Jan 30 11:40:38 2009 Copyright (c) 2008 PeteFinnigan.com Limited. All rights reserved. T Username Password CR FL STA ======================================================= U "SYS" [ ] -- -- OP U "SYSTEM" [ ] -- -- OP U "OUTLN" [OUTLN ] DE CR EL R "GLOBAL_AQ_USER_ROLE [GL-EX {GLOBAL} ] GE CR OP U "DIP" [DIP ] DE CR EL U "DMSYS" [DMSYS ] DE CR EL U "DBSNMP" [ ] -- -- OP U "WMSYS" [WMSYS ] DE CR EL U "EXFSYS" [EXFSYS ] DE CR EL U "ORDSYS" [ORDSYS ] DE CR EL U "ORDPLUGINS" [ORDPLUGINS ] DE CR EL U "SI_INFORMTN_SCHEMA" [SI_INFORMTN_SCHEMA ] DE CR EL U "MDSYS" [MDSYS ] DE CR EL U "CTXSYS" [CHANGE_ON_INSTALL ] DE CR EL U "OLAPSYS" [MANAGER ] DE CR EL U "WK_TEST" [WK_TEST ] DE CR EL U "XDB" [CHANGE_ON_INSTALL ] DE CR EL U "ANONYMOUS" [IMP {anonymous} ] IM CR EL U "SYSMAN" [ ] -- -- OP U "MDDATA" [MDDATA ] DE CR EL U "WKSYS" [CHANGE_ON_INSTALL ] DE CR EL U "WKPROXY" [CHANGE_ON_INSTALL ] DE CR EL U "MGMT_VIEW" [ ] -- -- OP U "SCOTT" [TIGER ] DE CR EL U "LOCALPGI" [PGI ] BF CR OP U "NEURONPGI" [PGI ] BF CR OP U "PIE" [PIE ] PU CR OP INFO: Number of crack attempts = [3351766] INFO: Elapsed time = [265.12 Seconds] INFO: Cracks per second = [12640] PL/SQL procedure successfully completed.
Keterangan :
- Kolom T : Mengidentifikasikan ‘U’ser dan ‘R’ole
- Kolom Username : Mengidentifikasikan Username atau Rolename
- Kolom Password : Mengidentifikasikan password yang berhasil di crack atau blank/kosong jika tidak berhasil di crack. [IMP {Impossible Value}] digunakan untuk jenis password yang mustahil/impossible. Untuk Instance settingnya [HASH{hash value}], hash digunakan karena password di set default tapi tidak diketahui apa isinya dan tentu saja dapat diubah. Untuk GLOBAL atau EXTERNAL password menggunakan [GL-EX {GLOBAL}].
- Kolom CR : Mengidentifikasikan metode untuk set password. ‘DE’fault, ‘PU’ artinya password di set oleh username, ‘DI’ctionary artinya password disimpan di dictionary, ‘BF’ artinya password di set dengan paksa, ‘IM’ untuk impossible, ‘GE’ untuk GLOBAL/EXTERNAL, ‘HS’ untuk hash, ‘–’ artinya password tidak berhasil di crack.
- Kolom STA : Mengidentifikasikan status account. ‘OP’ artinya open, EL artinya Expired/Locked untuk instance.
Dari contoh di atas ada 5 password yang tidak berhasil di crack, sedangkan 82% berhasil di crack dengan mudah. Ini menunjukkan bahwa setting password mempunyai kelemahan.Bayangkan betapa berbahayanya jika ini sampai terjadi di suatu sistem yang sangat besar dan penting…
| Print article | This entry was posted by onlypie86 on January 30, 2009 at 7:43 am, and is filed under Oracle. Follow any responses to this post through RSS 2.0. You can leave a response or trackback from your own site. |