phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响
据外媒 1 月 2 日报道,印度安全研究人员 Ashutosh Barot 发现 phpMyAdmin 存在一个严重的 CSRF 安全漏洞——通过欺骗管理员点击链接来执行危险的数据库操作,比如删除记录、删除/截断表等。Barot 称 phpMyAdmin 4.7.7 之前的版本都受到该漏洞的影响,并且可能会泄露敏感数据。
CSRF :跨站点请求伪造漏洞(也称为 XSRF),可在(已通过身份验证的)目标在不知情的情况下以目标名义伪造请求然后发送到受攻击站点,从而在并未授权的情况下执行一些操作。
phpMyAdmin 的一个特性是使用 GET 请求,在数据库操作的 POST 请求之后,GET 请求必须受到保护以防止 CSRF 攻击。在实例演示中,攻击者使用 URL 发送 POST 请求可能会欺骗数据库管理员单击按钮,执行删除数据库。 但是要进行这种攻击并不简单,因为要利用 CSRF 攻击 URL ,所以攻击者很可能知道目标数据库以及数据表的具体名称。那么这些信息是如何泄露的呢?
根据上述猜想,Barot 对此进行研究发现若用户通过单击插入、删除等按钮来操作数据库,那么 URL 将包含数据库和表名称。 而 URL 又存储在不同的地方,比如浏览器历史记录,SIEM 日志,防火墙日志,ISP 日志等,因此 Barot 认为该漏洞很可能会导致敏感信息泄露。
目前,phpMyAdmin 已发布了 phpMyAdmin 4.7.7 版本来解决这个 CSRF 漏洞。
消息来源:thehackernews,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** 。
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
“phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响” 的相关文章
CPU 又曝大 bug,涉及英特尔、AMD、ARM
2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。 时隔几年,CPU又再次曝出一个大bug,有意思的...
报道称 SafeGraph 正在出售访问堕胎诊所的人的位置数据
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...
乌克兰 MacPaw 公司发布 SpyBuster 旨在帮助用户应对俄罗斯的数据管控
位于乌克兰的Setapp开发商MacPaw已经创建了一个Mac应用程序,供用户了解他们的数据是否被保存在俄罗斯服务器上,依照该国法律可以被当局读取。总部位于乌克兰基辅的MacPaw已经告诉用户,尽管俄罗斯入侵该国,但这家乌克兰公司开发的软件作品Setapp、CleanMyMac X等将继续提供支持。...
美政府正在对量子计算机对加密技术构成的威胁做准备
在现在跟黑客直接对抗之时,美国政府官员正在为另一个更长期的威胁做准备:攻击者现在正在收集敏感的加密数据并希望他们能在未来的某个时候将其解锁。这种威胁来自于量子计算机,它的工作方式跟我们今天使用的经典计算机非常不同。 它们使用的不是由1和0组成的传统比特,而是可以同时代表不同数值的量子比特。量子计算...
迎接 2022 世界密码日:保持良好使用习惯、善用多因素认证与密码管理器
为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News &...
FBI 警告:招聘网站上的虚假招聘广告可能会窃取个人信息
申请一份新工作通常意味着向潜在的雇主交出一连串的个人信息,这就是为什么联邦调查局警告人们要警惕招聘网站上的假招聘广告,这些广告会窃取和出售你的详细资料。联邦调查局的互联网犯罪中心(IC3)公共服务公告警告说,自2019年以来,受害者因虚假招聘广告而损失的平均金额约为3000美元。 骗子经常仿冒正常...
评论列表
发表评论
