phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响
据外媒 1 月 2 日报道,印度安全研究人员 Ashutosh Barot 发现 phpMyAdmin 存在一个严重的 CSRF 安全漏洞——通过欺骗管理员点击链接来执行危险的数据库操作,比如删除记录、删除/截断表等。Barot 称 phpMyAdmin 4.7.7 之前的版本都受到该漏洞的影响,并且可能会泄露敏感数据。
CSRF :跨站点请求伪造漏洞(也称为 XSRF),可在(已通过身份验证的)目标在不知情的情况下以目标名义伪造请求然后发送到受攻击站点,从而在并未授权的情况下执行一些操作。
phpMyAdmin 的一个特性是使用 GET 请求,在数据库操作的 POST 请求之后,GET 请求必须受到保护以防止 CSRF 攻击。在实例演示中,攻击者使用 URL 发送 POST 请求可能会欺骗数据库管理员单击按钮,执行删除数据库。 但是要进行这种攻击并不简单,因为要利用 CSRF 攻击 URL ,所以攻击者很可能知道目标数据库以及数据表的具体名称。那么这些信息是如何泄露的呢?
根据上述猜想,Barot 对此进行研究发现若用户通过单击插入、删除等按钮来操作数据库,那么 URL 将包含数据库和表名称。 而 URL 又存储在不同的地方,比如浏览器历史记录,SIEM 日志,防火墙日志,ISP 日志等,因此 Barot 认为该漏洞很可能会导致敏感信息泄露。
目前,phpMyAdmin 已发布了 phpMyAdmin 4.7.7 版本来解决这个 CSRF 漏洞。
消息来源:thehackernews,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** 。
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
“phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响” 的相关文章
精心伪造的微软客户支持和帮助文档实际上是窃取信息的 Vidar 恶意软件
网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在...
黑客用新 Rootkit 攻击银行网络从 ATM 机上窃取资金
Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...
安全专家发现新型恶意 Windows 11 网站:镜像内含恶意文件
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
报道称 SafeGraph 正在出售访问堕胎诊所的人的位置数据
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...
FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门
Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...
微软将在 5 个 Office 应用程序中默认阻止互联网下载的宏程序
微软今天宣布,它将默认阻止5个Office应用程序中VBA宏脚本的执行,这是近年来影响最大的变化之一。从2022年4月初开始,Access、Excel、PowerPoint、Visio和Word用户将不能在他们从互联网上下载的不受信任的文件中启用宏脚本。 安全研究人员多年来一直要求作出这一改变,这将...
评论列表
发表评论
