پليس فتا استان خراسان رضوى:

یک نقص بحرانی در PhpMyAdmin به مهاجمان اجازه می‌دهد به بانک اطلاعاتی آسیب بزنند.

یک آسیب‌پذیری خطرناک در phpmyadmin گزارش شده‌است. (phpmyadmin یکی از اپلیکیشن‌های محبوب مدیریت بانک اطلاعاتی MySQL می‌باشد.) این آسیب پذیری به مهاجمان راه دور اجازه می‌دهد که با فریب دادن admin و کلیک کردن روی یک لینک، تراکنش‌های خطرناکی را در بانک اطلاعاتی اجرا نمایند.
یک محقق امنیتی هندی به نام باروت این آسیب پذیری را کشف کرده است. این آسیب پذیری از نوع CSRF بوده و نسخه‌های 4.7.x را تحت تاثیر قرار می‌دهد.
این آسیب پذیری که به نام  XSRF نیز شناخته می‌شود، نوع خاصی از حملات است که در آن مهاجم یک کاربر معتبر را فریب می‌دهد تا وى اعمال ناخواسته‌ای را انجام دهد.
 
براساس گزارش منتشر شده توسط phpmyadmin: " به وسیله فریب کاربر و کلیک کردن روی یک لینک، این امکان وجود دارد که عملیات‌های خطرناکی نظیری حذف رکورد یا جدول در بانک اطلاعاتی صورت پذیرد."

PhpMyAdmin یک ابزار مدیریتی رایگان و متن باز برای MySQL و MariaDB است و به صورت گسترده به منظور مدیریت بانک ‌های اطلاعاتی در Joomla ، Wordpress و سایر ابزارهای مدیریت محتوا ، استفاده می‌شود.

علاوه بر این بسیاری از هاست‌ها (Hosts) به منظور فراهم کردن محیطی مناسب و راحت برای سازماندهی بانک‌های اطلاعاتی کاربرانشان از phpMyAdmin استفاده می‌کنند.
 
به گفته آقای بارت: "یکی از ویژگی های PhpMyAdmin استفاده از دستور Get  و پس از آن استفاده از دستور Post برای اجراى دستورات بانک اطلاعاتی نظیر DROP TABLE می‌باشد. دستور GET باید در برابر حملات CSRF محافظت شود. در این مورد دستور POST مشخص می‌کند که چه چیزی از طریق URL (پارامترهای GET) در حال ارسال است. یک مهاجم می تواند مدیر بانک اطلاعاتی را فریب داده و با کلیک کردن روی یک دکمه درخواست حذف اطلاعات مورد نظرش را اجرا کند. "

             

به هر حال انجام این حملات به سادگی‌ای که بیان می‌شود قابل انجام نیست. برای آماده‌سازی یک حمله CSRF به URL، مهاجم باید نام بانک اطلاعاتی و جدول هدف را بداند.
 
وی ادامه داد: "اگر کاربری با کلیک بر روی یک دكمه درخواست درج، حذف و.... را بر روی بانک اطلاعاتی اجرا کند، نام بانک اطلاعاتی و جدول مورد نظر از طریق URL ارسال می‌شود. از آنجایی که اطلاعات URL در History مرورگر، لاگ‌های فایروال و ISP و SIEM ذخیره می‌شود، این آسیب‌پذیری می‌تواند باعث افشای اطلاعات حساسی شود."

آقای بارت این آسیب پذیری را به توسعه دهندگان PhpMyAdmin گزارش کرده و آنان با تایید یافته‌های وی نسخه‌ی 4.4.7 PhpMyAdmin را انتشار دادند. بنابراین به طور جدى به مدیران توصیه می‌شود، سریعا نسخه‌های خود را ارتقا دهند.

نظرات کاربران (کامنتها)

ارسال نظر جدید

محتواي اين فيلد خصوصي نگهداشته شده و قابل مشاهده توسط عموم نخواهد بود.
  • آدرس‌های وب و آدرس‌های ایمیل به صورت خودکار به لینک تبدیل می‌شوند.
  • خطوط و پاراگراف‌ها به صورت خودکار شکسته می‌شوند.
  • Allowed HTML tags: <a> <span> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <thead> <table> <tr> <td> <tbody> <th> <img> <a> <div> <map> <br>

اطلاعات بیشتر درباره فرمت های ورود اطلاعات

پرسش امنیتی
این پرسش به منظور تامین امنیت بیشتر در برنامه و شناسایی شما به عنوان یک کاربر انسانی ارائه شده است تا از پر شدن اتوماتیک فرم توسط روبات ها و اسپمرها جلوگیری به عمل آید.
3 + 0 =
این سوال ساده ریاضی را حل کنید و نتیجه را در محل مربوطه وارد نمایید. به طور مثال: عدد (1) + عدد (3): پاسخ عدد (4) خواهد بود و شما باید عدد (4) را در محل مناسب وارد کنید.