Mostra tutti

Hack phpMyAdmin – Un bug consente di eliminare tabelle e record dal database

Scoperta una vulnerabilità in phpMyAdmin che consente agli Hacker di eliminare tabelle e record del database

Tra le applicazioni più comuni e richieste per la gestione di database MySQL è il phpMyAdmin, strumento di amministrazione per MariaDB e MySQL open source e gratuito. E’ ampiamente utilizzato nella gestione del database per i siti web che sono stati progettati utilizzando Joomla, WordPress e altre piattaforme per la gestione dei contenuti.

Cosa è phpMyAdmin

phpMyAdmin è un’applicazione web scritta in PHP, distribuita con licenza GPL, che consente di amministrare un database MySQL o MariaDB tramite un qualsiasi browser. L’applicazione è indirizzata sia agli amministratori del database, sia agli utenti, gestendo i permessi prelevandoli dal database.

phpMyAdmin permette di creare un database da zero, creare le tabelle ed eseguire operazioni di ottimizzazione sulle stesse. Presenta un feedback sulla creazione delle tabelle per evitare eventuali errori. Sono previste delle funzionalità per l’inserimento dei dati (popolazione del database), per le query, per il backup dei dati, ecc.

L’amministratore ha anche a disposizione un’interfaccia grafica per la gestione degli utenti: l’interfaccia permette l’inserimento di un nuovo utente, la modifica della relativa password e la gestione dei permessi che l’utente ha sul database.

Installazione phpMyAdmin

phpMyAdmin in verità non necessita di una vera e propria installazione: per utilizzarlo, trattandosi tecnicamente di un insieme di pagine PHP, occorre semplicemente scaricare phpMyAdmin e decomprimerlo in una cartella del proprio server web (cartella che nei sistemi Linux è solitamente collocata nel percorso /var/www). La parte solitamente più complessa è per cui quella di installare e preparare il server web.

Requisiti necessari

  • Un server web (solitamente Apache HTTP Server);
  • Pacchetto MySQL o MariaDB server;
  • Pacchetto PHP;
  • Un browser.

Nella maggior parte delle distribuzioni Linux vi è un sistema di gestione dei pacchetti che permette di installare facilmente phpMyAdmin e tutte le sue dipendenze sopra citate in una volta sola, installando il pacchetto phpmyadmin.

In Debian, per esempio, basta lanciare (da utente root):

apt-get install phpmyadmin

Al contrario, per altri sistemi operativi come Microsoft Windows dove non vi è una gestione del software a pacchetti, si possono utilizzare degli installatori già preconfezionati come per esempio EasyPhp o XAMPP (quest’ultimo è multipiattaforma) che permettono di raggiungere lo stesso risultato.

Una volta installato, phpMyAdmin potrà essere utilizzato accedendo tramite il proprio browser alla cartella dove è stato installato phpMyAdmin sul proprio server web (solitamente è un indirizzo simile a http://localhost/phpMyAdmin/).

Hack phpMyAdmin – Descrizione della vulnerabilità

Ashutosh Barot, un ricercatore indiano, ha scoperto il bug in phpMyAdmin che avrebbe potuto essere il motivo che ha permesso ai cyber criminali di eseguire operazioni pericolose e dannose ai database, ingannando gli operatori creando una richiesta con codice infetto e maligno.

La vulnerabilità, secondo Ashutosh, è un Cross Site Request Forgery noto anche come CSRF. Si trova anche l’ elenco Top Ten del progetto Open Web Application Security Project (OWASP).

Cosa è Cross-site request forgery

Il Cross-site request forgery, abbreviato CSRF o anche XSRF, è una vulnerabilità a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente oppure no. Diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.

In parole povere, un CSRF è un attacco in cui l’ hacker inganna un utente legittimo a compiere azioni indesiderate.

Nel video SRF in phpMyAdmin | DROP TABLE with a single click!

Per contrastare questa vulnerabilità è consigliabile l’aggiornamento immediato alla versione  phpMyAdmin 4.7.7.7 rilasciata il 23 Dicembre 2017 compatibile con PHP vers. 5.5 to 7.2 e MySQL dalla vers. 5.5.

Download  phpMyAdmin 4.7.7.7

 

libro vita da hacker

Ti potrebbero interessare

8 Gennaio 2024

Hacker: mito e realtà nelle profondità della rete

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
9 Febbraio 2019

Password Checkup – Lo strumento di Google che controlla le credenziali compromesse

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
21 Gennaio 2019

Mac lento? Come Riparare il disco tramite Utility Disco sul Mac

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
10 Dicembre 2018

#OpPaperstorm.it – Come diventare un attivista di Anonymous Italia

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 Novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
2 Novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 Ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 Ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 Ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
15 Ottobre 2018

Anonymous Million Mask March 2018

Continua
11 Ottobre 2018

WordPress security – Come creare un registro delle attività per i siti usando WP Security Audit Log

Continua
10 Ottobre 2018

Inviare e condividere file criptati e protetti gratuitamente con Firefox send

Continua
9 Ottobre 2018

Come migliorare la sicurezza della propria rete domestica

Continua
8 Ottobre 2018

Facebook Data Breach – Nel dark web in vendita le credenziali

Continua
5 Ottobre 2018

LoJax, il primo rootkit UEFI che infetta il computer

Continua
29 Settembre 2018

Come proteggersi da Virus, Malware, Trojan e codice malevolo

Continua
28 Settembre 2018

Analisi di una Botnet – Come la Botnet Torii attacca i dispositivi IoT

Continua