-
Sicherheitslücke: ja. Kritisch: eher nein.
Autor: fratze123 26.09.12 - 10:08
Wer legt sich denn PhpMyAdmin offen zugänglich auf'n Server?
Normalerweise hat man Verzeichnis-Listing ausgeschaltet und verwendet eine halbwegs kryptische URL.
Irgendwelche automatisierten Atacken suchen doch ständig in naheliegenden Unterverzeichnissen danach... -
Re: Sicherheitslücke: ja. Kritisch: eher nein.
Autor: 0xDEADC0DE 26.09.12 - 10:24
security by obscurity? sorry, no. es bleibt kritisch, zusammen mit theoretisch anderen bugs (in beliebiger software), kann man sicher auch an das eigentlich nicht zugängliche phpmyadmin gelangen.
-
viele Kunden
Autor: Missingno. 26.09.12 - 10:57
Selbst wenn es auf dem Server eine gepflegte Version von PhpMyAdmin für alle zugänglich gibt und diese zu benutzen ist, darf man tagtäglich irgendwelche uralten Versionen aus den Kundenverzeichnissen löschen oder sperren.
--
Dare to be stupid! -
Re: viele Kunden
Autor: Husten 26.09.12 - 11:05
die meisten kunden probieren alles mal aus und lassen es dann auch liegen. bei uns gabs mal einen "hack" bei einem kunden, auf einmal war in allen möglichen viewscripten ein iframe eingebaut, das was nachladen wollte. gab voll den anschiss, bis wir beweisen konnten, dass irgendein "it"-heini beim kunden vor x jahren mal eine wordpressversion irgendwo auf dem server zu "test"-zwecken installiert hatte und diese nun ungepatcht da rumlag.
bei phpmyadmin ists meist so, dass davon ausgegangen wird, dass der login von phpmyadmin vollkommen ausreicht. da ist kein andere schutz vor. und sobald irgendjemand beim kunden mal selbst was schauen will, oder sie für irgendene miniwebsite nene externen entwickler holen, wird gleich wieder irgendwo erstmal ein phpmyadmin hinkopiert. supernervig oft! -
Re: Sicherheitslücke: ja. Kritisch: eher nein.
Autor: slashwalker 26.09.12 - 13:00
0xDEADC0DE schrieb:
--------------------------------------------------------------------------------
> security by obscurity? sorry, no. es bleibt kritisch, zusammen mit
> theoretisch anderen bugs (in beliebiger software), kann man sicher auch an
> das eigentlich nicht zugängliche phpmyadmin gelangen.
Deswegen nutze ich für den PMA eine SSL Client Authentifizierung. Ohne gültiges Zertifikat kommste nicht rein.



