Re: Piratage Mysql
On Sat, 17 Sep 2011 00:01:43 +0200, Aéris <aeris@imirhil.fr> wrote:
...
> HAVIJ nécessite un site web non sécurisé pour fonctionner.
> Il se base sur les faiblesses des applications web autour de MySQL, pas
> de celles de MySQL directement.
ben, d'après ce qu'il dit l'accès vers le svr mysql est ouvert (p3306)
...
> Non effectivement, HAVIJ fonctionne par injection SQL et peut accéder à
> ta base sans avoir d'accès au MySQL.
> Mais ça, tant que PHP vivra…
ça n'est pas tout à fait vrai: disons plutôt tant que les programmeurs php
ne contrôleront correctement ni leurs morceaux de code ni les droits des
fichiers & directories.
> Une « parade » possible est de limiter au maximum les droits des comptes
> utilisateurs MySQL.
> Un compte par utilisateur et par base de données, des droits
> ultra-limités (select / update / delete suffisent généralement), etc.
Ajoutons: un escaping systématique de toutes les données envoyées vers la DB.
Mais au risque de me répéter, la meilleure parade reste d'inclure le code
"actif" dans la DB (procs stockées); mais je doute qu'à ce jour ce soit facile
(voire même possible à 100%) avec mysql.
--
Quid me anxius sum?
[ What? Me, worry? ]
Reply to: