Banalny 0-day w phpMyAdminie – przy pewnych warunkach atakujący może kasować całe bazy danych

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56075
O problemie doniósł
Zaloguj lub Zarejestruj się aby zobaczyć!
Całość to podatność klasy
Zaloguj lub Zarejestruj się aby zobaczyć!
(czyli zmuszenie przeglądarki ofiary do wykonania jakiejś nieautoryzowanej akcji;
Zaloguj lub Zarejestruj się aby zobaczyć!
):

phpmyadmin-exploit-600x94.jpg

W zasadzie widać co tutaj się dzieje. Wystarczy
Zaloguj lub Zarejestruj się aby zobaczyć!
tego typu obrazek na jakiejś stronie (np. na sekuraku) – oraz umieścić stosowną nazwę domenową serwera (lub IP), gdzie znajduje się phpMyAdmin. Jeśli ktoś jest tam zalogowany, np. na innym tabie przeglądarki, ta ostatnia automatycznie wykona żądanie HTTP do zasobu wskazanego w src (nie jest tu nawet wymagany JavaScript). Ofiara była zalogowana, więc żądanie nie wymaga uwierzytelnienia.

źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Trojan w centralnym repozytorium JavaScript. Namierzyła go sztuczna inteligencja
Odpowiedzi
0
Wyświetleń
90
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Google profiluje dzieci bez zgody rodziców. Zbierają nawet odciski palców
Odpowiedzi
0
Wyświetleń
93
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Stracił pieniądze, bo na smartfonie wyskoczył mu cudzy BLIK do potwierdzenia
Odpowiedzi
0
Wyświetleń
121
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Chińscy hakerzy przez dwa lata mieli dostęp do belgijskich służb bezpieczeństwa
Odpowiedzi
0
Wyświetleń
130
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
moje.cert.pl - Nowy serwis dla Polaków
Odpowiedzi
0
Wyświetleń
173
OXYGEN THIEF
OXYGEN THIEF
Do góry