Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Jei naudojate „MySQL 5“ duomenų bazių valdymo sistemą, tai būtinai pasirūpinkite jos saugumu, antraip galite būti apturėti kokio nors vaikigalio, įsivaizduojančio save baisiuoju įsilaužėliu. Viskas, ko jam prireiks, tai maždau 200 - 300 bandymų prisijungti ir „MySQL“ galiausiai pasiduos bei priims bet kokį slaptažodį!

Dėl visiškai bukos programavimo klaidos yra tikimybė 1 iš 256, jog vartotojo prisijungimo duomenų tikrinimo funkcija gražins 0 reikšmę (slaptažodis geras), nepriklausomai nuo to, koks slaptažodis nurodytas. Tiesiog akivaizdus „code monkey“ darbo rezultatas, kai kodas rašomas negalvojant.

Plačiau skaitykite, kad ir čia. Jei naudojatės „Linux“, tai pasitikrinti galima labai paprastai - tiesiog paleiskite 1000 iš eilės bandymų prisijungti root vartotoju prie duomenų bazės:

for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

Jei aukčiau esanti komanda jums leis prisijungti prie „MySQL“, tai tučtuojau ieškokite DBVS atnaujinimo, skirto jūsų sistemai. Nors tokio pobūdžio klaida nėra tokia pavojinga, jei serveris yra tvarkingai sukonfigūruotas ir prie „MySQL“ neleidžiama jungtis bet kam ir iš bet kur, tačiau apkerpėti nevertėtų. Mat pasinaudojus kitų sistemų, tokių, kaip TVS, spragomis išmanesnis įsilaužėlis gali gauti prisijungimo prie „MySQL“ galimybę. O tada jau jūsų DB gali iškeliauti į amžinuosius bitukų medžioklės plotus... Arba koks kenkėjas apsigyventi jūsų svetainėje.

Komentuoti


Apsaugos kodas
Atnaujinti