Viszont az is éppen elég nagy probléma, hogy a phpMyAdmin-hoz hozzáfértek, mert azon keresztül letölthették az appdb és a bugzilla login adatbázisait, benne az e-mail címekkel és a titkosított jelszavakkal. Ugyan a jelszavak címek titkosítva voltak, de azokat - főleg a gyengébb jelszavakat - megfelelő elszántság mellett a támadók megismerhetik.
A projekt nekiállt a kárelhárításnak. A jelszavakat alaphelyzetbe állítják és az érintetteknek privát levelet küldenek a tudnivalókkal.
A részletek itt olvashatók.
- A hozzászóláshoz be kell jelentkezni
- 3582 megtekintés
Hozzászólások
Édes istenem... mi jön még? Defective by ideology, mi?
- A hozzászóláshoz be kell jelentkezni
Kik azok az appdb fejlesztők?
- A hozzászóláshoz be kell jelentkezni
Aki ugyanazt a jelszót használja mindenhol, az meg is érdemli.
- A hozzászóláshoz be kell jelentkezni
De eleve mi a f*szert van phpmyadmin a gepen? Legyen egy masik belsos gepen inkabb, amin at az sqlt remote tcp tutujgatjak es egy fokkal jobb mar. Vagy korlatozzak ip-re es/vagy OTP jelszavakra.
- A hozzászóláshoz be kell jelentkezni
Én azt nem értem, hogy mégis milyen tevékenységhez kell db hozzáférés? Ha az appdb programját írják, akkor local db lorem ipsumokkal megteszi, ha meg adatokat felvitele a cél, arra illene írni valami formot, nem?
- A hozzászóláshoz be kell jelentkezni
Egyébként mi az, amivel alá lehet támasztani a phpmyadmin létjogosultságát a szoftveres világban? :-)
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"
- A hozzászóláshoz be kell jelentkezni
Lustaság?
Meg hát nem mindenkinek bejövős a parancssoros kliens ugye. Desktop MySQL kliensből meg nem sok normálisat láttam még sajnos.
- A hozzászóláshoz be kell jelentkezni
navicat, a lite valtozat free (cserebe kevesebbet tud)
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
+1
Meg ahol a fejlesztők diktálnak és ragaszkodnak hozzá.
Ellenben nem, hogy nem érdeklik a sechole-ok, még ők maguk is teleteszik az alkalmazásaikat brutális résekkel, győzzed betömni...
- A hozzászóláshoz be kell jelentkezni
Mert hatékonyabban lehet használni, mint parancssorból kiadni MySQL parancsokat?
- A hozzászóláshoz be kell jelentkezni
Amiert hatekonyabb egy FF/Chrome/Opera/akarmi, mint egy telnet hup.hu 80.
--
|8]
- A hozzászóláshoz be kell jelentkezni
Nem feltétlen kapsz shellt egy tárhelyhez. Ma nem divat. Ott pl sokra nem mész a hatékonysággal.
- A hozzászóláshoz be kell jelentkezni
Nem is kell shell a tárhelyhez, elég ha engedi, hogy a gépedről kapcsolódj a MySQL szerverhez.
Ha ezt is lekorlátozzák, akkor sajnos tényleg marad a phpmyadmin... vagy a szolgáltatóváltás.
- A hozzászóláshoz be kell jelentkezni
Vagy ha már ott van, akkor miért nem dugták el valahova :) - érintettekkel közölni, hogy kedvencük mostantól a /kutyagumi/kacsalatyak/sastrotty címen érhető el.
- A hozzászóláshoz be kell jelentkezni
Nyilvan nem /phpmyadmin/ alatt volt. Ha elolvasod a teljes levelet, van benne egy ilyen reszlet:
"But it is a prime target for hackers, and apparently our best efforts at obscuring it and patching it were not sufficient."
--
|8]
- A hozzászóláshoz be kell jelentkezni
Mert ez marhaság, ha bugos akkor hiába dugod el, akkor is bugos marad, csak álbiztonságot ad. Ezt sose hiszik el nekem.
- A hozzászóláshoz be kell jelentkezni
Nem igazán értek hozzá, csak felvetettem (az angol cikket meg nem olvastam el - ja bocs, ez nem neked szól). De érdekelne a dolog.
Úgy gondoltam, hogy ha el van dugva pld. a /thy_name1/0_imi/kur3tulica alá, és erről csak az tud, akinek tudnia kell, akkor a scriptkiddie-k nem találnak rá a legelső próbálkozással, főleg ha van egy fail2ban apache no-script is, ami a második próbánál 3 órára elküldi az ip-t a sunyiba. Vagy van valami módszer, amivel ennek ellenére könnyedén meg lehet találni, hogy a site-on ott van egy phpmyadmin valahol? (Meg persze .htacces sem árt, mint lentebb is említették.)
Az, hogy bughalmaz, az igaz... de hogy kihasználd a bugot, előtte meg kellene találni.
- A hozzászóláshoz be kell jelentkezni
> Vagy van valami módszer, amivel ennek ellenére könnyedén meg lehet találni, hogy a site-on ott van egy phpmyadmin valahol?
Persze. Megtorod barmelyik olyan user gepet, aki hozzafer. Peldaul. De van meg par.
--
|8]
- A hozzászóláshoz be kell jelentkezni
Köszi:), ez eddig is egyértelmű volt számomra. A "van még pár" izgalmasabb. Azok inkább érdekelnének. Főleg, hogy hogyan lehet ellenük védekezni.
- A hozzászóláshoz be kell jelentkezni
Tobbnyire ertelmes userekkel lehet a legjobban vedekezni. :>
--
|8]
- A hozzászóláshoz be kell jelentkezni
Subscribled for spam :P
- A hozzászóláshoz be kell jelentkezni
Lehet hogy csak álmodtam, de mintha egyszer valamelyik wine-os oldal (appdb, vagy bugzilla) kidumpolta volna a hibaüzenet mellé az adatbázis usert meg jelszót. amikor nem tudott csatlakozni...
- A hozzászóláshoz be kell jelentkezni
valakinek sikerült valahogy engedély nélkül hozzáférnie a phpMyAdmin
ROTFL :)
- A hozzászóláshoz be kell jelentkezni
ez a phpmyadmin egy orok rejtely szamomra...evek ota reszelgetik, de nincs honap, hogy ne jonne ra valami kritikus bugfix.
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Olyan, mint az Adobe flash. Meg a Reader. En sem ertem, hogyan lehet benne mindig hiba, de van.
--
http://www.micros~1
- A hozzászóláshoz be kell jelentkezni
Szvsz nem gáz éles szerveren használni a phpMyAdmin-t. Gáz az, hogy csak a saját authját használja a user, minimum kell elé egy htaccess.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni