Safe Kids – Come rendere uno smartphone sicuro per i vostri figli
3 Gen 2018
Come rubare le credenziali di un account Microsoft Windows usando Word
6 Gen 2018
Mostra tutti

Hack phpMyAdmin – Un bug consente di eliminare tabelle e record dal database

Scoperta una vulnerabilità in phpMyAdmin che consente agli Hacker di eliminare tabelle e record del database

Tra le applicazioni più comuni e richieste per la gestione di database MySQL è il phpMyAdmin, strumento di amministrazione per MariaDB e MySQL open source e gratuito. E’ ampiamente utilizzato nella gestione del database per i siti web che sono stati progettati utilizzando Joomla, WordPress e altre piattaforme per la gestione dei contenuti.

Cosa è phpMyAdmin

phpMyAdmin è un’applicazione web scritta in PHP, distribuita con licenza GPL, che consente di amministrare un database MySQL o MariaDB tramite un qualsiasi browser. L’applicazione è indirizzata sia agli amministratori del database, sia agli utenti, gestendo i permessi prelevandoli dal database.

phpMyAdmin permette di creare un database da zero, creare le tabelle ed eseguire operazioni di ottimizzazione sulle stesse. Presenta un feedback sulla creazione delle tabelle per evitare eventuali errori. Sono previste delle funzionalità per l’inserimento dei dati (popolazione del database), per le query, per il backup dei dati, ecc.

L’amministratore ha anche a disposizione un’interfaccia grafica per la gestione degli utenti: l’interfaccia permette l’inserimento di un nuovo utente, la modifica della relativa password e la gestione dei permessi che l’utente ha sul database.

Installazione phpMyAdmin

phpMyAdmin in verità non necessita di una vera e propria installazione: per utilizzarlo, trattandosi tecnicamente di un insieme di pagine PHP, occorre semplicemente scaricare phpMyAdmin e decomprimerlo in una cartella del proprio server web (cartella che nei sistemi Linux è solitamente collocata nel percorso /var/www). La parte solitamente più complessa è per cui quella di installare e preparare il server web.

Requisiti necessari

  • Un server web (solitamente Apache HTTP Server);
  • Pacchetto MySQL o MariaDB server;
  • Pacchetto PHP;
  • Un browser.

Nella maggior parte delle distribuzioni Linux vi è un sistema di gestione dei pacchetti che permette di installare facilmente phpMyAdmin e tutte le sue dipendenze sopra citate in una volta sola, installando il pacchetto phpmyadmin.

In Debian, per esempio, basta lanciare (da utente root):

apt-get install phpmyadmin

Al contrario, per altri sistemi operativi come Microsoft Windows dove non vi è una gestione del software a pacchetti, si possono utilizzare degli installatori già preconfezionati come per esempio EasyPhp o XAMPP (quest’ultimo è multipiattaforma) che permettono di raggiungere lo stesso risultato.

Una volta installato, phpMyAdmin potrà essere utilizzato accedendo tramite il proprio browser alla cartella dove è stato installato phpMyAdmin sul proprio server web (solitamente è un indirizzo simile a http://localhost/phpMyAdmin/).

Hack phpMyAdmin – Descrizione della vulnerabilità

Ashutosh Barot, un ricercatore indiano, ha scoperto il bug in phpMyAdmin che avrebbe potuto essere il motivo che ha permesso ai cyber criminali di eseguire operazioni pericolose e dannose ai database, ingannando gli operatori creando una richiesta con codice infetto e maligno.

La vulnerabilità, secondo Ashutosh, è un Cross Site Request Forgery noto anche come CSRF. Si trova anche l’ elenco Top Ten del progetto Open Web Application Security Project (OWASP).

Cosa è Cross-site request forgery

Il Cross-site request forgery, abbreviato CSRF o anche XSRF, è una vulnerabilità a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente oppure no. Diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.

In parole povere, un CSRF è un attacco in cui l’ hacker inganna un utente legittimo a compiere azioni indesiderate.

Nel video SRF in phpMyAdmin | DROP TABLE with a single click!

Per contrastare questa vulnerabilità è consigliabile l’aggiornamento immediato alla versione  phpMyAdmin 4.7.7.7 rilasciata il 23 Dicembre 2017 compatibile con PHP vers. 5.5 to 7.2 e MySQL dalla vers. 5.5.

 

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer | IT Cybersecurity Senior Manager
Rocco Balzamà
Valutazione Media
Last Reviewer
Reviewed Item
Hack phpMyAdmin - Un bug consente di eliminare tabelle e record dal database
Rating
51star1star1star1star1star
1
×
Come possiamo aiutarti...