phpMyAdmin 存在關鍵 CSRF 安全漏洞,4.7.7 之前版本均受影響
據外媒 1 月 2 日報道,印度安全研究人員 Ashutosh Barot 發現 phpMyAdmin 存在一個嚴重的 CSRF 安全漏洞——通過欺騙管理員點擊鏈接來執行危險的數據庫操作,比如刪除記錄、刪除/截斷表等。Barot 稱 phpMyAdmin 4.7.7 之前的版本都受到該漏洞的影響,并且可能會泄露敏感數據。
CSRF :跨站點請求偽造漏洞(也稱為 XSRF),可在(已通過身份驗證的)目標在不知情的情況下以目標名義偽造請求然后發送到受攻擊站點,從而在并未授權的情況下執行一些操作。
phpMyAdmin 的一個特性是使用 GET 請求,在數據庫操作的 POST 請求之后,GET 請求必須受到保護以防止 CSRF 攻擊。在實例演示中,攻擊者使用 URL 發送 POST 請求可能會欺騙數據庫管理員單擊按鈕,執行刪除數據庫。 但是要進行這種攻擊并不簡單,因為要利用 CSRF 攻擊 URL ,所以攻擊者很可能知道目標數據庫以及數據表的具體名稱。那么這些信息是如何泄露的呢?
根據上述猜想,Barot 對此進行研究發現若用戶通過單擊插入、刪除等按鈕來操作數據庫,那么 URL 將包含數據庫和表名稱。 而 URL 又存儲在不同的地方,比如瀏覽器歷史記錄,SIEM 日志,防火墻日志,ISP 日志等,因此 Barot 認為該漏洞很可能會導致敏感信息泄露。
目前,phpMyAdmin 已發布了 phpMyAdmin 4.7.7 版本來解決這個 CSRF 漏洞。
超達科技公眾號
超達商城小程序
咨詢熱線:15890197308技術售后:15890197308郵箱:80410245@qq.com
鄭州超達科技有限公司Copyright ? 2017~2020 All rights reserved.豫ICP備17044048號
網站建設,網站制作,軟件開發,APP開發,小程序開發首選鄭州超達科技,公司擁有超達建站全網營銷系統,是專業的網站建設、網站制作、軟件開發公司,超達建站包含PC網站、手機網站、微信網站,小程序,手機app,一鍵生成,各種終端全覆蓋,操作簡單,任意布局,無需代碼,自由拖拽! 超達科技是一家致力于為政府、企事業單位提供互聯網服務的創新型企業,集軟件定制開發、網站建設、網站優化、網站營銷、網站運維、手機APP開發、微網站制作、系統集成、互聯網應用服務為一體,為企事業單位提供全方位、多平臺一站式服務。
在線咨詢
電話咨詢
二維碼
