elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  /phpmyadmin/ ¿Grave error?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: /phpmyadmin/ ¿Grave error?  (Leído 4,299 veces)
Xyzed


Desconectado Desconectado

Mensajes: 307



Ver Perfil
/phpmyadmin/ ¿Grave error?
« en: 6 Abril 2021, 06:27 am »

Hola,
 
varias veces me cruce con algún que otro sitio que utiliza phpMyAdmin como gestor para administrar MySQL, y que tenía dicho directorio a la vista y acceso de todos.
Es increíble realmente, la cantidad de sitios que poseen estas fallas sin tener la mínima noción de esto.

Debido a eso me surge una pregunta;
¿Además de la probabilidad de que realicen un ataque de fuerza bruta, o la afección que pueden tener por culpa del setup al alcance de cualquiera, hay algún otro riesgo que se corre?, ¿algún otro directorio al que no deberían tener acceso los usuarios sin privilegios?


Saludos.


En línea

...
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: /phpmyadmin/ ¿Grave error?
« Respuesta #1 en: 6 Abril 2021, 07:10 am »

Hola, para comenzar phpmyadmin no es una herramienta oficial de mysql asi que es susceptible a fallos en su funcionamiento, no solo en su seguridad ya que este no tiene un soporte oficial.

Segundo, phpmyadmin está escrito sobre php y php tiene muchas limitaciones con respecto al manejo del buffer, tamaño de variables, tiempo máximo de ejecución, flush implícito, problemas con las iteraciones y estados finitos y un largo etc, por ejemplo, cuando haces backups de más de 500mb de base de datos phpmyadmin tiende a fallar y terminas con una descarga corrupta e incompleta que en la última línea te dice que hubo un error de php, también te encontrarás con secuencia de caracteres no permitidos y funciones no existentes debido al uso legacy interno del mismo phpmyadmin.

Tercero, phpmyadmin está muy lejos de ser una herramienta segura, es totalmente desaconsejable tener un panel web expuesto para administrar un servidor, de hecho tener cpanel expuesto es una pésima práctica, para ello debes utlizar las herramientas oficiales, soportadas y con acceso únicamente para el administrador de sistemas, por ejemplo, a traves de una red vpn, tunnel socks5 (vía ssh), etc.

Cuarto, para la gestión de mysql o mariadb puedes utilizar mysql workbench vía tunnel ssh (ya que el servicio de la db nunca debería estar expuesta hacia internet), internamente para hacer respaldos puedes utilizar mysqldump el cual está diseñado para crear respaldos de manera eficiente, rápida y sin conflictos de importación (como si pasa con phpmyadmin y algunos encoding).

Por otro lado, phpmyadmin tiene muchas cosas que proteger, archivos de configuración que están en el mismo directorio raiz público, clases de ejecución de funciones php, etc. Si lo vas a usar es mejor que lo pongas unicamente bajo acceso desde localhost, pero de todas maneras te recomiendo que no lo uses.

Ahora, con respecto a que cosas habría que considerar como punto vulnerable de phpmyadmin puedes dar un vistazo acá:

https://www.cvedetails.com/vulnerability-list/vendor_id-784/cvssscoremin-7/cvssscoremax-7.99/Phpmyadmin.html

Saludos.


« Última modificación: 6 Abril 2021, 07:15 am por WHK » En línea

Xyzed


Desconectado Desconectado

Mensajes: 307



Ver Perfil
Re: /phpmyadmin/ ¿Grave error?
« Respuesta #2 en: 6 Abril 2021, 07:55 am »

Hola @WHK.

Hace rato desconsidere utilizar phpMyAdmin debido a los reiterados problemas que tuve bajo su ejecución y el conocimiento de algunos riesgos que sabia de la utilización de está "herramienta".

Muchas gracias por la clara respuesta, saludos.
En línea

...
BloodSharp


Desconectado Desconectado

Mensajes: 811


¡ Hiperfoco !


Ver Perfil WWW
Re: /phpmyadmin/ ¿Grave error?
« Respuesta #3 en: 6 Abril 2021, 15:05 pm »

¿hay algún otro riesgo que se corre?, ¿algún otro directorio al que no deberían tener acceso los usuarios sin privilegios?

En el pasado se encontró muchas vulnerabilidades, acá hay una imagen de todas las que aparecen en exploit-db, quizás si se lo analiza el como funciona se pueda encontrar una nueva vulnerabilidad...




B#
En línea



AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: /phpmyadmin/ ¿Grave error?
« Respuesta #4 en: 6 Abril 2021, 15:36 pm »

A mi en lo personal me gusta phpmyadmin, usualmente trabajo con la terminal pero cuando quiero algo mas visual y que sea web phpmyadmin es mi opción.

En lo personal siempre cambio el nombre al directorio raiz, y solo para mi uso personal.

Saludos!
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: /phpmyadmin/ ¿Grave error?
« Respuesta #5 en: 6 Abril 2021, 17:05 pm »

el phpMyAddmin/setup es algo ya bastante viejo.

URI
/phpMyAdmin/setup/index.php

En las nuevas versiones ya no aparece el error.

Citar
phpMyAdmin - Error
Configuration already exists, setup is disabled!

phpMyAdmin es potencialmente vulnerable como cualquier script php, pero es más peligroso al dar acceso al MySQL/MariaDB, yo tampoco lo expondría públicamente sin proteger antes de alguna manera.

En los paneles de control Plesk lo tienen instalado, pero la URL no es pública, hay que acceder vía Plesk y te genera un token para poder entrar.

Creo que phpMyAdmin es una herramienta muy utilizada y muy práctica, pero potencialmente peligrosa y con muchas limitaciones como WHK comenta (ficheros grandes, etc)

Otra opción es proteger el directorio a sólo una IP, por ejemplo:

Código:
# phpMyAdmin protegido

<Directory /home/usuario/public_html/phpMyAdmin>
<IfModule mod_authz_core.c>
# Apache 2.4
Require all denied
                Require ip 91.126.217.153
</IfModule>
</Directory>
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Error grave con ocx
Programación Visual Basic
[Zero] 4 1,826 Último mensaje 3 Enero 2008, 15:11 pm
por [Zero]
Error en phpmyadmin
Desarrollo Web
Clavo Oxidado 0 2,008 Último mensaje 15 Julio 2010, 23:04 pm
por Clavo Oxidado
Error de seguridad en phpMyAdmin por puerta trasera en código comprometido.
Noticias
HdM 0 1,579 Último mensaje 27 Septiembre 2012, 12:02 pm
por HdM
Error al instalar phpmyadmin en ubuntu 14.04
GNU/Linux
Dixius 2 5,626 Último mensaje 24 Mayo 2014, 13:00 pm
por Gh057
Nota de Error PhpMyAdmin
PHP
Sempai15 3 2,759 Último mensaje 14 Febrero 2018, 05:00 am
por srWhiteSkull
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines