Всегда приятно посмаковать допускаемые ошибки теми, кто учит других построению информационной системы и вопросам обеспечения информационной безопасности :)) На этот раз под раздачей сайт в домене ibm.com - http://www.researcher.ibm.com/ .
name='more'>
Version: 5.0.67
User: root@localhost
Database: researcher_development
Datadir: /Applications/xampp/xamppfiles/var/mysql/
Как можно понять по приведенным данным выше, для доступа к базе используется учетная запись с повышенными привилегиями (root@localhost, дефолты). Права у пользователя root в СУБД MySQL позволяют получить доступ к файловой системе (и если кавычки не экранируются, то в том числе и на запись):
А такое отношение наблюдается к используемым паролям учетных записей на внешнем общедоступном ресурсе:
That its all! Reference: http://insecurity.baywords.com/
PS: спасибо volare за предоставленную ссылку на этот инцидент.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Всегда приятно посмаковать допускаемые ошибки теми, кто учит других построению информационной системы и вопросам обеспечения информационной безопасности :)) На этот раз под раздачей сайт в домене ibm.com - http://www.researcher.ibm.com/ .
name='more'>
Version: 5.0.67
User: root@localhost
Database: researcher_development
Datadir: /Applications/xampp/xamppfiles/var/mysql/
Как можно понять по приведенным данным выше, для доступа к базе используется учетная запись с повышенными привилегиями (root@localhost, дефолты). Права у пользователя root в СУБД MySQL позволяют получить доступ к файловой системе (и если кавычки не экранируются, то в том числе и на запись):
А такое отношение наблюдается к используемым паролям учетных записей на внешнем общедоступном ресурсе:
That its all! Reference: http://insecurity.baywords.com/
PS: спасибо volare за предоставленную ссылку на этот инцидент.
