Új hozzászólás Aktív témák
-
ArchElf
addikt
Hihetetlen, hogy egy CA-nál a kulcsokat nem egy HSM-en generálják és tárolják...
AE
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
sh4d0w
félisten
Ha egy cég phpmyadmint használ, megérdemli, hogy betörjenek hozzá.
https://www.coreinfinity.tech
-
ddekany
veterán
Nem világos miért vagy ezzel ennyire elvágólagos. Nyilván ilyen kaliberű cégeknél az egész webes adminisztrátori felület (mert már csak van olyan) úgy ahogy van védett. Ilyen-olyan bejelentkezés, https, VPS, akármi. Ha oda bejutottak, akkor már kész a baj, és nem gondolnám, hogy az, ha ezen a védett felületen belül van PhpMyAdmin az szakmai hiba lenne.
Ha meg kisebb meg közepes-nem-IT-s cégekről is beszélünk, akkor eleve úgy kezdődik, hogy honlapok túlnyomó többsége shared hostingon van, ahova bizonyosan sima FTP-vel lehet felölteni (tehát jelszó megy át a hálón minden titkosítás nélkül... SFTP-t meg SCP-t nem nagyon ismerik shared hostingosok valamiért), és jár hozzá CPanel meg phpMyAdmin, azok remélhetően https mögött, bár a jelszó valószínűleg u.a. hozzá mint az FTP-hez. Tehát simán szar az egész, a phpMyAdmin már nem oszt nem szoroz.
-
sh4d0w
félisten
Tudsz róla, hogy a támadások ~80%-a belülről indul? Innentől fogva egy telepített phpmyadmin potenciális veszélyforrás. Nem mellesleg éppen októberben nyomultak be a WineHQ-ba kívülről, phpmyadmin sebezhetőség okán.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
ddekany
veterán
Minden ismertebb szoftver támadási felület (mert nincs security through obscurity, na meg lehet szőnyegbombázni, ami jó üzlet), de hát az nem reális, hogy minden cég kifejleszt magának saját megoldást.
Másrészt, lehet én siklok át itt valamin, de ehhez a phpMyAdmin konfiguráló oldalát el kellett érni simán http-n keresztül (tehát nem "belülről"). Ez nszvsz eleve gáz, mert mint mondtam semmilyen adminisztratív weboldalt nem szabadna elérni autentikáció nélkül (mondjuk HTTPS + HTTP Auth az egész /admin-ra). Annak aki nem ismeri a cselt, a phpMyAdmin-nak van egy konfiguráló oldala, ami alapból bárkinek elérhető, ám amit ott mentesz konfigurációt, az nem lép érvénybe amíg megfelelő jogosultságokkal rendelkező illető azt át nem másolja oda ahova kell. Tehát látszólag ártatlan a dolog, kivéve, hogy egy trükkös beállítás mentésével magát a konfigurációs felületet lehetett rávenni arra, hogy tetszőleges shell parancsokat hajtson végre, az apache felhasználója (www-data debianon) nevében. (A SQL-injection mintájára, ez PHP-injection.) Ehhez még hozzátenném, hogy rendes helyeken a konfigurációs szkripteket törlik a konfigurálás után... és még egyszer, ha csak nyavadt HTTP authenticationt raknak az egész adminisztratív régióra, már kiestek volna azok a szerverek szönyegbombázásból.
Ha meg valaki máshogyan tud "belülről" parancsokat osztogatni, akkor már buktad, nem hiszem hogy nagy szükséged lenne a phpMyAdmin-ra a további rosszalkodáshoz.
[ Szerkesztve ]
-
sh4d0w
félisten
Eléggé leragadtunk a phpmyadminnál, de folytassuk, ha gondolod.
Valóban nem reális minden cégnek saját megoldást kifejleszteni, de a phpmyadminnál csak jobb eszközök léteznek. E szoftver évek óta küzd biztonsági hiányosságokkal, amiket valahogy sohasem sikerül megoldani. Ezenkívül Te feltételezed a rendszergazdákról, hogy minden csínját-bínját ismerik annak, amit felraknak managementre, de ez közel sem igaz.
Másrészt ha lehívod a winehq oldalát, látható, hogy nincs https, mégis elérték a támadók a cuccot és egy modulbeli hiba miatt egyéb információkhoz is hozzáfértek.
Ha pedig tudod, hogy vhol van myphpadmin, ami sebezhető, akkor nem fogsz más után nyomozni.
Egyébként persze, abban igazad van, hogy másban is lehet hibát találni, de minek tennéd, ha ismert előtted egy lyukas szoftver megléte és elérhetősége.
https://www.coreinfinity.tech
-
bambano
titán
ha valakinek webes admin mankóra van szüksége, az eleve alkalmatlan komolyabb admin munkára. a phpmyadmin emellett az ilyen webes mankók közül is kitűnik hihetetlen biztonságtalanságával.
az ftp titkosítatlan jelszó valójában sokkal kevésbé probléma, mint sokan gondolnák. A jelszó nemigen megy át titkosítatlan broadcast közegen, így azt megszerezni messze nem triviális. Az ftp feltöltés jelszavát jellemzően total commanderre szakosodott vírusokkal végzik, amikkel a web adminisztrátotok desktopját fertőzik meg.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ddekany
veterán
"Másrészt ha lehívod a winehq oldalát, látható, hogy nincs https, mégis elérték a támadók a cuccot"
Feltéve, hogy nem hallgatják le a forgalmat, a HTTP Basic Authentication önmagában, azaz HTTPS nélkül is sokat segít ezeken. Tehát hogy a jelszó nélkül elve nem is éri el a támadó a lyukas webalkalmazásokat.
Amúgy akkor te azt akartad itt kifejezni, hogy phpMyAdmin helyett valami mást használjanak? Lehet... nem próbáltam még az alternatíváit. Meg az alapvető álláspontom az, hogy ha a rendszergazdákon kívül valaki eléri az admin alkalmazásokat (akár csak a login oldalukat), az már rég rossz. Persze, ilyen mega-CMS-eknél meg csoda-webbolt gigacuccoknál nem mindig reális elszeparálni az admin részeket a többitől... de a phpMyAdmin pont az a fajta cucc, aminél simán lehet, szóval nem tartozik a fő paráim közé.
-
ddekany
veterán
"ha valakinek webes admin mankóra van szüksége, az eleve alkalmatlan komolyabb admin munkára"
Ha feltétlenül szüksége van, akkor igen. De ezek a cuccok jobbára hatékonyabbak mint a parancssor, szóval naná, hogy kb. mindenki használja őket. Ez olyan, mint hogy én is tudok programot írni notepaddal, de miért tenném, ha van Eclipse. (Persze vannak emberek, akik ragaszkodnak a Vi-hez, Emacs-hoz, már Eclipse-el vagy IntelliJ-vel szemben... hát nem normálisak.)
"az ftp titkosítatlan jelszó valójában sokkal kevésbé probléma, mint sokan gondolnák."
Ma már... anno azért amikor mindenki egy Ethernet colosion domainban volt kevésbé volt vicces. Amúgy körülöttem úgy 1-2 éve volt pont ebből szopás, hogy a weboldakészítő gépe nem volt fertőzött, de a szomszéd épületben valakié igen, és mivel az épületnek "érdekes" hálózati kiépítése volt, az a gép lenyúlta a belépéskor az FTP jelszavakat (lehallgatta az ethernet forgalmat), aztán küldte őket haza Ivánnak, aki szépen meg is változtatta a weboldalt hogy fertőzze a látogatókat.
-
sh4d0w
félisten
Egy auditor blogjában olvastam: überhiperszupermegacucc, minden összekapcsolva mindennel: SAP, AD, egyéb webalkalmazás login, minden egy helyen. Keresték, kutatták a réseket, összesen egy reflected XSS-t találtak... aztán leesett a tantusz: minden júzernek van jogosultsága másikat létrehozni. Eszközigénylésnél csak létre kellett hozni másik usert, akit beállítottak főnöknek és jóváhagyta a rendelést...
https://www.coreinfinity.tech
-
ddekany
veterán
Na igen... Ezért tölti el félelemmel pici szívemet minden ilyen gigaizé, mert 100% hogy nem egy lék van rajtuk, csak az a kérdés ki találja meg őket leghamarabb. Ja, anno Ploneban (szép nagy darab CMS) botlottam olyanba, hogy ha megszűnt felhasználóval megegyező belépési névvel regisztrált valaki, akkor megkapta a volt felhasználó jogosultságait ajándékba. Mármost, volt az oldalnak régen egy nagyon általános felhasználó nevű rendszergazdája... valaki véletlenül regisztrált volna úgy, belépés után minden oldalon szerkesztés fülek meg hasonló nyalánkságok fogadták volna...
-
Egon
nagyúr
Az miért nem hír az itcafe-n, hogy Anonymous-ék megint alkottak:
[link]"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
lgb
tag
Sajnos en talalkoztam mar olyan "adatbazis megoldasok szakertovel", aki mint alvallalkozo azt szerette volna, ha phpmyadmin-t installunk neki, mert o csak ugy tud mysql-el dolgozni. Most komolyan: ne mondja valaki (itt: egy ceg) magarol, hogy a tema szakertoje, ha mar ott elakad, ha nem a szokasos kattintgatos feluletet latja. Ja, es ugyanez a ceg unix szerverekre kert X installalasat, mert "karakteres felulettel mi nem foglalkozunk". No comment ...
Új hozzászólás Aktív témák
- Windows 11
- Információbiztonság, kiberbiztonság, adatvédelem
- Megjelentek a Vivo telefonjai Magyarországon, ezek az induló árak
- A fociról könnyedén, egy baráti társaságban
- Autós topik
- Szeged és környéke adok-veszek-beszélgetek
- EA Sports WRC '23
- Jó, jó, mechanikus billentyűzetet... de milyet?
- Porszívók - akkus és klasszikus vezetékes
- Okos Otthon / Smart Home
- További aktív témák...
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest