Xpoint
   [напомнить пароль]

Как пентестер получил доступ к MySQL

Метки: [без меток]
2019-01-29 00:01:19 [обр] Легеров Алексей[досье]
Друзья, помогите знаниями!
Якобы походя случайный пентестер получил доступ к базам данных сервера. Говорит об уязвимости на сайте. Подтверждает реальными скриншотами моих таблиц MySQL. Конечно, он готов помочь за мзду.
Сайт 4x4sport.ru
Подскажите где искать дыру в безопасности?
С SQL-инъекциями знаком, вроде защитился проверкой всех параметров на валидность. Сайт на Perl, PHP запрещен.
спустя 1 час 39 минут [обр] Евгений Седов aka KPbIC(4/187)[досье]
Мог подобрать пароль к машине. Мог подобрать пароль напрямую к базе, если она открыта наружу. Но вероятней всего через скл-инжекшн, да. Надо делать ревизию кода. Часто пагинатор сайта ничем не защищен.
спустя 15 минут [обр] Евгений Седов aka KPbIC(4/187)[досье]
Если есть лог скл- или хттп-запросов, посмотреть на предмет наличия длинных и необычных запросов.
Можно написать и прогнать тесты.
спустя 12 часов [обр] Легеров Алексей[досье]
Спасибо, Евгений! Буду проверять на SQLi
спустя 3 часа 22 минуты [обр] Евгений Седов aka KPbIC(4/187)[досье]
По-хорошему, ни в коде верхнего уровня (контроллере), ни в классах объектов не должно быть скл. Тогда избежать таких проблем намного проще.
Powered by POEM™ Engine Copyright © 2002-2005