Hack phpMyAdmin – Un bug consente di eliminare tabelle e record dal database
Scoperta una vulnerabilità in phpMyAdmin che consente agli Hacker di eliminare tabelle e record del database
Tra le applicazioni più comuni e richieste per la gestione di database MySQL è il phpMyAdmin, strumento di amministrazione per MariaDB e MySQL open source e gratuito. E’ ampiamente utilizzato nella gestione del database per i siti web che sono stati progettati utilizzando Joomla, WordPress e altre piattaforme per la gestione dei contenuti.
Cosa è phpMyAdmin
phpMyAdmin è un’applicazione web scritta in PHP, distribuita con licenza GPL, che consente di amministrare un database MySQL o MariaDB tramite un qualsiasi browser. L’applicazione è indirizzata sia agli amministratori del database, sia agli utenti, gestendo i permessi prelevandoli dal database.
phpMyAdmin permette di creare un database da zero, creare le tabelle ed eseguire operazioni di ottimizzazione sulle stesse. Presenta un feedback sulla creazione delle tabelle per evitare eventuali errori. Sono previste delle funzionalità per l’inserimento dei dati (popolazione del database), per le query, per il backup dei dati, ecc.
L’amministratore ha anche a disposizione un’interfaccia grafica per la gestione degli utenti: l’interfaccia permette l’inserimento di un nuovo utente, la modifica della relativa password e la gestione dei permessi che l’utente ha sul database.
Installazione phpMyAdmin
phpMyAdmin in verità non necessita di una vera e propria installazione: per utilizzarlo, trattandosi tecnicamente di un insieme di pagine PHP, occorre semplicemente scaricare phpMyAdmin e decomprimerlo in una cartella del proprio server web (cartella che nei sistemi Linux è solitamente collocata nel percorso /var/www). La parte solitamente più complessa è per cui quella di installare e preparare il server web.
Requisiti necessari
Un server web (solitamente Apache HTTP Server);
Pacchetto MySQL o MariaDB server;
Pacchetto PHP;
Un browser.
Nella maggior parte delle distribuzioni Linux vi è un sistema di gestione dei pacchetti che permette di installare facilmente phpMyAdmin e tutte le sue dipendenze sopra citate in una volta sola, installando il pacchetto phpmyadmin.
In Debian, per esempio, basta lanciare (da utente root):
apt-get install phpmyadmin
Al contrario, per altri sistemi operativi come Microsoft Windows dove non vi è una gestione del software a pacchetti, si possono utilizzare degli installatori già preconfezionati come per esempio EasyPhp o XAMPP (quest’ultimo è multipiattaforma) che permettono di raggiungere lo stesso risultato.
Una volta installato, phpMyAdmin potrà essere utilizzato accedendo tramite il proprio browser alla cartella dove è stato installato phpMyAdmin sul proprio server web (solitamente è un indirizzo simile a http://localhost/phpMyAdmin/).
Hack phpMyAdmin – Descrizione della vulnerabilità
Ashutosh Barot, un ricercatore indiano, ha scoperto il bug in phpMyAdmin che avrebbe potuto essere il motivo che ha permesso ai cyber criminali di eseguire operazioni pericolose e dannose ai database, ingannando gli operatori creando una richiesta con codice infetto e maligno.
La vulnerabilità, secondo Ashutosh, è un Cross Site Request Forgery noto anche come CSRF. Si trova anche l’ elenco Top Ten del progetto Open Web Application Security Project (OWASP).
Cosa è Cross-site request forgery
Il Cross-site request forgery, abbreviato CSRF o anche XSRF, è una vulnerabilità a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente oppure no. Diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.
In parole povere, un CSRF è un attacco in cui l’ hacker inganna un utente legittimo a compiere azioni indesiderate.
Nel video SRF in phpMyAdmin | DROP TABLE with a single click!
Per contrastare questa vulnerabilità è consigliabile l’aggiornamento immediato alla versione phpMyAdmin 4.7.7.7 rilasciata il 23 Dicembre 2017 compatibile con PHP vers. 5.5 to 7.2 e MySQL dalla vers. 5.5.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui