Взлом сайта через phpmyadmin

11.05.2012


Для всех любителей удобств пользования базами данных mysql через phpmyadmin стоит побеспокоиться о безопасности, т.к. некоторые уязвимости сервера находятся как раз в этой софтине.

Например в новом phpMyAdmin 3.4.7 обнаружена серьезная уязвимость. которая позволяет злоумышленнику получить полный доступ к файлам сервера. Это возможно при импортировании XML-файла специального формата, который дает рутовый доступ к серверу. Для исправления нужно обновиться до версии 3.4.7.1 или 3.3.10.5.
Старые версии phpMyAdmin до 2.9.0.1 имеют уязвимость, которая позволяет злоумышленнику провести XSS нападение. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение.Также исправлена неизвестная ошибка в libraries/.htaccess. Исправить ошибку можно, скачав последнию версию 2.9.0.1.
Так же есть уязвимость в папке /phpmyadmin/scripts/setup.php - данный файл позволяет совершить SQL инъекцию и получить полный доступ к сайту. Для решения этой проблемы надо просто удалить эту папку!
Проще запретить доступ к phpmyadmin извне, или оставить несколько айпи и пароль!

Сайт производителя: www.phpmyadmin.net




Оставить комментарий...

Добавить комментарий


Защитный код
Обновить