Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

C’est le moment de mettre à jour (ou de désinstaller) PhpMyAdmin

Avis aux utilisateurs de PhpMyAdmin

Le chercheur en sécurité Ashutosh Barot a découvert dans les versions < 4.7.7 du célèbre outil de gestion de base MySQL / MariaDB, une faille de type CSRF qui permettrait à un attaquant, via un simple clic sur une URL forgée envoyée à un utilisateur admin, de supprimer des enregistrements, voire vider des tables.

Démonstration :

« Ho un email de Natasha »

*clic*

« Ho un email de mon boss pour me dire qu’on n’a plus rien sur le site »

En effet, PhpMyAdmin utilise des requêtes GET pour effectuer des opérations sensibles comme un DROP TABLE donc ça devient plutôt simple de tromper l’admin pour lui faire passer des requêtes GET mortelles.

Voici une (vraie) démonstration de l’attaque :

L’attaque fonctionne aussi sur les utilisateurs de CPanel qui auraient fermé les fenêtres de PhpMyAdmin.

Notez que depuis plusieurs années, je ne recommande plus l’utilisation de PhpMyAdmin. Préférez plutôt la mise en place temporaire d’un outil comme Adminer que vous pourrez supprimer après avoir fini vos manipulations. C’est plus safe.

Tous les détails techniques se trouvent ici.

Merci à Wallerand pour l’info !

Source


Réponses notables

  1. Jay says:

    Salut, si je comprend bien pour appliquer cette faille il faut déjà avoir eu accès a phpmyadmin?

    Bon j’ai vérifier j’ai une version récente, donc je suis safe^^ Je vais jeter un oeil à adminer quand même.

  2. C’est le principe des CSRF oui… Mais ça veut dire que si tu es admin d’un PhpMyAdmin et que tu as encore un cookie que session pour ton compte, tu peux te faire attaquer à partir de n’importe quel site.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants

Les astuces complexes utilisées pour accroître l’efficacité de ces attaques peuvent être regroupées en deux catégories distinctes : premièrement, les stratégies d’ingénierie sociale qui cherchent à semer la confusion chez les utilisateurs; et deuxièmement les mécanismes techniques sophistiqués qui tentent d’entraver la détection et l’analyse des logiciels malveillants

Utiliser des comptes frauduleux dans la boutique Google Play, afin de distribuer des logiciels malveillants

Pour les cybercriminels, introduire leurs applications malveillantes dans la boutique Google Play et sur le marché des applications authentiques représente une énorme victoire.

Se camoufler au sein des applications système

Le moyen le plus facile pour un code malveillant de se cacher sur un appareil, de loin, est de se faire passer pour une application système et de passer aussi inaperçu que possible. Les mauvaises pratiques telles que la suppression de l’icône de l’application une fois l’installation terminée ou l’utilisation de noms, paquets et icônes d’applications système et autres applications populaires pour compromettre un appareil sont des stratégies qui émergent dans le code. On se rappellera par exemple du cheval de Troie bancaire qui s’est fait passer pour Adobe Flash Player pour voler des informations d’identification.

Lire la suite



Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même faire un..

Lire la suite



SanDisk Carte Mémoire microSDHC SanDisk Ultra 32GB + Adaptateur SD

– 30 % de réduction

Caractéristiques:

Capacité jusqu’à 256 Go *
Jusqu’à 100 Mo / s ** Vitesse de transfert
Chargez les applications plus rapidement avec une classe de performance A1
UHS Speed Class U1 et Speed Class 10 pour l’enregistrement / la lecture vidéo Full HD
Idéal pour les smartphones et les tablettes Android

Voir l’offre


2 outils pour enregistrer et automatiser des actions sous Windows

Le site Vtask propose 2 freewares (pour Windows) plutôt sympa pour qui cherche à enregistrer des actions faites au clavier et à la souris afin de les automatiser. Le premier s’appelle TinyTask. Il pèse 33 kb et propose une fonctionnalité d’enregistrement ainsi que la possibilité de rejouer sans fin ce que vous avez enregistré.

Ce qui est pratique avec cet outil, c’est qu’il intègre…

Lire la suite



Toshiba HDTB410EK3AA Disque Dur Externe Portable 2,5″ 1 to USB 3.0

#1 Meilleure vente Stockage

Disque due externe de 2,5 pouces
Finition mate
Port USB 3.0 grande vitesse
Alimentation USB

En Savoir +