Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про захоплення сервера через SQL Injection, пропоную новий відео секюріті мануал. Цього разу відео про розміщення бекдору через phpMyAdmin. Рекомендую подивитися всім хто цікавиться цією темою.

Injecting a Backdoor via PhpMyAdmin

В даному відео ролику демонструється використання phpMyAdmin, доступ до його отриманий через різноманітні уразливості (в тому числі й через відсутність обмежень на доступ до веб додатку), для виконання SQL команд для розміщення бекдору на сервері. А через бекдор відбувається захоплення сервера. Раніше я вже наводив відео про захоплення сервера з СУБД SQL Server та MySQL через SQL Injection.

Для цього на сервер через phpMyAdmin заливається шел (простий шел, подібний до мого MustLive Remote Shell). Після чого додається новий акаунт адміністратора в систему. Рекомендую подивитися дане відео для розуміння SQL Injection атак та ризиків розміщення на сайті додактів для роботи з БД (таких як phpMyAdmin та інших).

This entry was posted on 21:13 12.02.2010 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.