域外黑客联盟 - Foreign Hacker Union - 自由.共享.互助

联盟首页 技术文章 软件下载 技术培训 核心申请 分站申请 邮局系统 技术咨询 区域分化 广告合作 代理服务 版本V6.22

-------- Welcome To Foreign Hacker Union !Thank You For Your Support !--------
================ 维护祖国尊严 爱我中华 强我中华 耀我中华 ================
|  网络信息  |   |  系统知识  |  
域外黑客联盟>>网络信息>>行内跟踪>>phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响
phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响

据外媒 1 月 2 日报道,印度安全研究人员 Ashutosh Barot 发现 phpMyAdmin 存在一个严重的 CSRF 安全漏洞——通过欺骗管理员点击链接来执行危险的数据库操作,比如删除记录、删除/截断表等。Barot 称 phpMyAdmin 4.7.7 之前的版本都受到该漏洞的影响,并且可能会泄露敏感数据。

CSRF :跨站点请求伪造漏洞(也称为 XSRF),可在(已通过身份验证的)目标在不知情的情况下以目标名义伪造请求然后发送到受攻击站点,从而在并未授权的情况下执行一些操作。

phpMyAdmin 的一个特性是使用 GET 请求,在数据库操作的 POST 请求之后,GET 请求必须受到保护以防止 CSRF 攻击。在实例演示中,攻击者使用 URL 发送 POST 请求可能会欺骗数据库管理员单击按钮,执行删除数据库。 但是要进行这种攻击并不简单,因为要利用 CSRF 攻击 URL ,所以攻击者很可能知道目标数据库以及数据表的具体名称。那么这些信息是如何泄露的呢?

根据上述猜想,Barot 对此进行研究发现若用户通过单击插入、删除等按钮来操作数据库,那么 URL 将包含数据库和表名称。 而 URL 又存储在不同的地方,比如浏览器历史记录,SIEM 日志,防火墙日志,ISP 日志等,因此 Barot 认为该漏洞很可能会导致敏感信息泄露。

目前,phpMyAdmin 已发布了 phpMyAdmin 4.7.7 版本来解决这个 CSRF 漏洞。


原作者:不详
来 源:hackernews
共有25位读者阅读过此文

上篇文章:前 NSA 黑客揭露如何将卡巴斯基杀软变成间谍工具
下篇文章:家中音箱突然半夜高歌?别担心,它只是被黑了

□- 本周热门文章
1.不可不知的2014十大木马[4458137]
2.VLC 2.1.5使用的编解码库中被...[4253639]
3.VLC Media Player '...[4245203]
4.绿毒老大接受邀请将赴北京参加黑客大会[3546839]
5.Juniper推八款安全平台保网络安...[3459658]
6.侵害个人电脑四大黑手法曝光 QQ盗号...[2464709]
7.Siemens Scalance X...[2458798]

关于我们 | 分站申请 | 成员申请 | 技术论坛 | 站内导航 | 合作伙伴 | 联系我们

Copyrights © 2001 - 2014 www.ywhack.com All Rights Reserved

版权所有   域 外 黑 客 联 盟

(Foreign Hacker Union V 6.22)

渝ICP备15013288号-7

渝公网安备 50011302000597号