Adminer

[ArtemPitov]

Вот достало уже, господа разработчики, а точнее любители adminer-а, вот как так можно ? 

Вроде прикрываешь все пакости, phpmyadmin и остальные, и тут вдруг ОПА, adminer.php, смотришь дальше еще штука 5 по разным папками, вы хотя бы удаляли их, а лучше бы вообще не ставили 

[ArtemPitov]

@nikifalex да банально, прикрыли мы phpMyAdmin то злых людей, а по сайту админеров валяется тучами, и найти его не сложно, так смысл искушать "китайцев" ? 

[Yoda]

Банально, Артем  не знаком с теорией вероятности.

Как правило логин и пароль в базу минимум 10 символов. Даже 20в256 степени подобрать перебором невозможно.

 

И даже если у нас только символы и цифры и большие маленькие буквы  - это на три года большой хеш ферме.
А еще раньше сервер будет плакать от подобного брутфорса, что будет видно в логах и это бесполезная тема!

 

Все остальное домыслы.

Артем, может стоит поучить математику ?

 

 

[ArtemPitov]

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

[Yoda]

7 минут назад, ArtemPitov сказал:

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

 

даже 8 символов.

Сколько у нас доступных значений? Сколько у нас вероятных символов?
Сколько серверов живет под ISP у которых phpmyadmin открыто и никикаких проблем?

 

Правда, поучите матчасть. Это немножко сложнее, чем быть невнятным модером в свою пользу. Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

 

Спасибо!

[ArtemPitov]

3 минуты назад, Yoda сказал:

Это немножко сложнее, чем быть невнятным модером в свою пользу

Кто бы говорил ) 

 

4 минуты назад, Yoda сказал:

Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

Спасибо, взаимно 

[Yoda]

Извините, Артем, я не понимаю ваших намеков, не могли бы вы объяснить внятнее.

 

О чем вы сейчас.

[auditor]

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

[spectre]

админер если он нужен переименовывается вот что-то типа superninjaphpadminer1434314134431431.php и все

[Yoda]

В 09.02.2019 в 09:26, auditor сказал:

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

[auditor]

1 час назад, Yoda сказал:

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

[RGB]

Любая дополнительная дверь в систему - это лишний риск и потенциально небезопасное место, т.к. и в Adminer есть уязвимости, пусть и не такие тривиальные, как отсутствие экранирования  

[Yoda]

8 часов назад, auditor сказал:

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

[auditor]

3 часа назад, Yoda сказал:

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

О, это да, скоько не зайду на сервер, info.php или, как часто любят любители тестирования ионкуба, заливать в корень тестировщик, который покажет, совместима ли система с их модулем и есть ли вообще установленный ionCube, а в итоге - потенциальная информация о сервере, и тоже - залил и держит, ну и сам реккомендатель красавец, тоже отписал бы, мол потестил - зелёное - ок - удали.