Tweet
Bom galera vi um tópico em uma area restrita chamado "O grande segredo do xampp", bom estive pensando se este fala sobre uma coisa que eu conheço desde que começei a usar o xampp que é uma vul no phpmyadmin que permite acesso aos arquivos do servidor ou do seu pc se vc estiver rodando em localhost, bom não sei se é isso mas vou ensinar com resolver, o problema é em um dos usuários padrões do xampp o PMA (odeio ele :mad
, vou usar um texto q tenho pronto aqui pra mim nã oter que escrever tudo:
Autor: Talaturem
Não vou explicar com detalhes como você pode aproveitar essa vulnerabilidade, mas também posso explicá-la em uma única frase: o usuário PMA tem mais permissões do que deveria.
Faça o seguinte para proteger seu servidor:
1. Entre no phpMyAdmin com usuário root.
2. Abaixo do logotipo do phpMyAdmin (na barra lateral esquerda) você verá um botão que tem o texto SQL, clique sobre ele.
3. Um texto aparecerá onde você pode inserir uma consulta (query), insira a seguinte:
DROP USER 'PMA' @ 'localhost';
4. Clique em Executar, se der alguma mensagem de erro poste aqui e nós tentaremos ajudá-lo.
Agora, para ter certeza de que funcionou, dê logout e tente fazer o login com o usuário PMA sem nenhuma senha. Se não funcionar, significa que o servidor está seguro contra essa vulnerabilidade.
Nota do editor: PMA é um nome de usuário para phpMyAdmin / mysql relacional que exige somente leitura !!!
PS. phpMyAdmin 2.11.7 NÃO é protegido por isto, mas as versões acima da 2.11.9.2 sim.
Bom espero que ajude a alguém, pois ninguém gosta de ter seus arquivos bisbilhotados né
Qualquer dúvida postem aí que eu ajudo a consertar.
[]s
, vou usar um texto q tenho pronto aqui pra mim nã oter que escrever tudo: Autor: Talaturem
Não vou explicar com detalhes como você pode aproveitar essa vulnerabilidade, mas também posso explicá-la em uma única frase: o usuário PMA tem mais permissões do que deveria.
Faça o seguinte para proteger seu servidor:
1. Entre no phpMyAdmin com usuário root.
2. Abaixo do logotipo do phpMyAdmin (na barra lateral esquerda) você verá um botão que tem o texto SQL, clique sobre ele.
3. Um texto aparecerá onde você pode inserir uma consulta (query), insira a seguinte:
DROP USER 'PMA' @ 'localhost';
4. Clique em Executar, se der alguma mensagem de erro poste aqui e nós tentaremos ajudá-lo.
Agora, para ter certeza de que funcionou, dê logout e tente fazer o login com o usuário PMA sem nenhuma senha. Se não funcionar, significa que o servidor está seguro contra essa vulnerabilidade.
Nota do editor: PMA é um nome de usuário para phpMyAdmin / mysql relacional que exige somente leitura !!!
PS. phpMyAdmin 2.11.7 NÃO é protegido por isto, mas as versões acima da 2.11.9.2 sim.
Bom espero que ajude a alguém, pois ninguém gosta de ter seus arquivos bisbilhotados né
Qualquer dúvida postem aí que eu ajudo a consertar.
[]s
Comment