Php ile yazılmış, açık kaynak kodlu, web tabanlı bir veritabanı yönetim yazılımıdır. Başlıca kullanım alanı internet üzerinden MySQL veritabanı yönetimidir. Veritabanı oluşturma ve silme, tablo ekleme/değiştirme/silme, alan ekleme/değiştirme/silme, SQL sorguları çalıştırma vb. alanlarda kullanabiliriz aslında özetle veritabanı ile alakalı her şeydir.
Güvenlik Nasıl Sağlanır ?
PhpMyAdmin bir programdır bu program size tanımda da bahsettiğim gibi veritabanında bize bir çok yetki verir fakat "WebHack" ile uğraşanlar bilir bir sitenin veritabanına açıklardan yararlanarak sızılabilir veya sitenin sonuna url/PhpMyAdmin getirerek veritabanına giriş sayfasına sızılabilir . Sitenin ( username ,password ) bilgileri dump edilirse ( url/PhpMyAdmin ) ile giriş sayfasından siteye tam bir yetki ile erişilebilir bunun önüne geçmek için htaccess İle Güvenlik sağlayabiliriz .
htaccess Nedir ?
.htaccess, Apache gibi web servisini kullanıcıları için bir konfigrasyon dosyasıdır. Kodlar ile websitenizde Hata Dökümanları, yönlendirmeler, parola korumalı dizinler vb. gibi işlemleri gerçekleştirebilirsiniz . Bu dosya phpMyAdmin programının içinde yoktur bizim kurmamız gerekmektedir . Şimdi bu dosyanın nasıl kurulduğuna ve güvenliği nasıl sağlayacağımıza gelelim .
htaccess ile güvenlik nasıl sağlanır ?
"Phpmyadmin'i .htaccess kullanarak koru" ifadesi çok geniştir. Öncelik olarak bu bilinmelidir alt kısımda ki aşamaları takip edelim .
1-) Phpmyadmin'i yükleyin
Kod:
[COLOR="White"]sudo apt-get install phpmyadmin[/COLOR]
2-) Kopya :
Kod:
[COLOR="White"]sudo cp /etc/phpmyadmin/apache.conf /etc/apache2/conf-enabled/phpmyadmin.conf[/COLOR]
3-) Düzenle:
Kod:
[COLOR="White"]sudo nano /etc/apache2/conf-enabled/phpmyadmin.conf[/COLOR]
Kod:
[COLOR="White"]AllowOverride All[/COLOR]
4-) .Htaccess'i düzenle
Kod:
[COLOR="White"]sudo nano /usr/share/phpmyadmin/.htaccess[/COLOR]
Kod:
[COLOR="White"]AuthType Basic
Authname "Restricted files"
AuthUserFile /etc/phpmyadmin/.htpasswd
Require valid-user[/COLOR]
Kod:
5-) sudo apt-get install apache2-utils
Kod:
[COLOR="white"]6-) sudo htpasswd -c /etc/phpmyadmin/.htpasswd username[/COLOR]
Yeni Şifreyi gir , Apache'yi yeniden başlat ve işlem tamam .
Peki bunu neden yaptık ?
Genellikle, (IP) / phpmyadmin'e erişiyoruz ve kullanıcı adı ve şifrenizi geçiyoruz kolayca buraya erişmek demek kolayca Hack demek
Genellikle, (IP) / phpmyadmin'e erişiyoruz ve kullanıcı adı ve şifrenizi geçiyoruz kolayca buraya erişmek demek kolayca Hack demek
Kod:
[COLOR="White"] 1.localhost/phpmyadmin/[/COLOR]
Biz burada aslında .Htaccess dosyasını kullanarak kolayca kullanıcı adı ve şifre giriş sayfasına ulaşımı engellemiş olduk .Htaccess dosyası ile bir kaç değişiklik yaptık yukardaki anlatımda yapmış olduğumuz gibi .Şimdi phpMyAdmin de 2019 da tespit edilmiş açıkları ve çözümlerini belgelemek istedim şimdi ona geçelim .
phpMyAdmin - 2019 Güvenlik Açıkları !
PMASA-2019-4
Bir saldırganın bir phpMyAdmin kullanıcısına karşı bir CSRF saldırısı başlatmasına izin veren bir güvenlik açığı bulundu. Saldırgan kullanıcıyı, örneğin <img>kurbanın phpMyAdmin veritabanına işaret eden bozuk bir etiketle kandırabilir
PMASA-2019-3
Tasarımcı özelliği aracılığıyla bir SQL enjeksiyon saldırısını tetiklemek için özel hazırlanmış bir veritabanı adının kullanılabileceği bir güvenlik açığı
PMASA-2019-2
Tasarımcı özelliği aracılığıyla bir SQL enjeksiyon saldırısını tetiklemek için özel hazırlanmış bir kullanıcı adının kullanılabileceği bir güvenlik açığı
PMASA-2019-1
Ne zaman AllowArbitraryServeryapılandırma ayarlı truesahtekar MySQL sunucusunun kullanımı ile, bir saldırganın web sunucusunun kullanıcının erişebileceği sunucuda herhangi bir dosyayı okuyabilir.
phpMyadmin kullanımını engellemeye çalışır LOAD DATA INFILE, ancak PHP'deki bir hata nedeniyle bu kontrol onurlandırılmaz. Ek olarak, 'mysql' uzantısını kullanırken, mysql.allow_local_infile varsayılan olarak etkindir. Bu koşulların ikisi de saldırının gerçekleşmesine izin verir.
Evet bunlar phpMyAdmin üzerinden bildirilen güncel açıklardır "PMASA-2019-1" bu açık en kritik açıklardan biri olarak gösterilmiştir açıkların çözümleri ve Azaltma faktörleri phpMyAdmin - Güvenlikten ulaşabilirsiniz .
PMASA-2019-4
Bir saldırganın bir phpMyAdmin kullanıcısına karşı bir CSRF saldırısı başlatmasına izin veren bir güvenlik açığı bulundu. Saldırgan kullanıcıyı, örneğin <img>kurbanın phpMyAdmin veritabanına işaret eden bozuk bir etiketle kandırabilir
PMASA-2019-3
Tasarımcı özelliği aracılığıyla bir SQL enjeksiyon saldırısını tetiklemek için özel hazırlanmış bir veritabanı adının kullanılabileceği bir güvenlik açığı
PMASA-2019-2
Tasarımcı özelliği aracılığıyla bir SQL enjeksiyon saldırısını tetiklemek için özel hazırlanmış bir kullanıcı adının kullanılabileceği bir güvenlik açığı
PMASA-2019-1
Ne zaman AllowArbitraryServeryapılandırma ayarlı truesahtekar MySQL sunucusunun kullanımı ile, bir saldırganın web sunucusunun kullanıcının erişebileceği sunucuda herhangi bir dosyayı okuyabilir.
phpMyadmin kullanımını engellemeye çalışır LOAD DATA INFILE, ancak PHP'deki bir hata nedeniyle bu kontrol onurlandırılmaz. Ek olarak, 'mysql' uzantısını kullanırken, mysql.allow_local_infile varsayılan olarak etkindir. Bu koşulların ikisi de saldırının gerçekleşmesine izin verir.
Evet bunlar phpMyAdmin üzerinden bildirilen güncel açıklardır "PMASA-2019-1" bu açık en kritik açıklardan biri olarak gösterilmiştir açıkların çözümleri ve Azaltma faktörleri phpMyAdmin - Güvenlikten ulaşabilirsiniz .
Son düzenleme: