Ergebnis 1 bis 8 von 8

Thema: Datenbanksicherheit...

  1. #1
    Interessierte/r
    Registriert seit
    19.10.2005
    Beiträge
    147
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard Datenbanksicherheit...

    Tach leuts.
    Habe gehört und dann auch gesehn das man mit Google und entsprechenden Begriffen einfach so Zugang zum phpMyAdmin bekommen kann. Bis her hab ich meine Seite nicht finden können, nur weiss ich nicht ob das glück ist oder ich doch etwas richtig mache...
    Also meine Frage wäre ob jmd. weiss warum man da überhaupt zugriff drauf habn kann und wie man dies dann möglichst verhindern kann.
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    Forum Guru Avatar von The User
    Registriert seit
    28.10.2007
    Ort
    Zwischen Pazifik und Atlantik...
    Beiträge
    4.044
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Datenbanksicherheit...

    PHPMyAdmin fragt nach Benutzernamen und Passwort. Diese Dinge muss man erst einmal bekommen.
    Wenn jemand Benutzername und Passwort hat, ist es auch ziemlich egal, ob er dein PHPMyAdmin findet, weil man auch von andern Rechnern aus auf die DB zugreifen kann, wenn das nicht deaktiviert ist.
    Das muss kein riesiges Geheimnis sein. Bei vielen Seiten findet man auch z.B. domain.de/phpMyAdmin. Das ist nicht so schwer. Bei Freehostern ist die Url sowieso festgelegt. Dafür hat man ja ein Passwort.

    Viele liebe Grüße
    The User

    PS:
    Habe die URL schon gefunden.
    Darf ich die hier schreiben und sagen wies geht?

    PPS:
    Das wäre aber durchaus mal eine Idee für phpMyAdmin, nach drei falschen Versuchen eine Zeitverzögerung einzubauen, um Listen-Angriffe abzuwehren.
    Geändert von The User (18.04.2009 um 01:45 Uhr)

  3. #3
    Interessierte/r
    Themenstarter

    Registriert seit
    19.10.2005
    Beiträge
    147
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Datenbanksicherheit...

    Die phpMyAdmin-Url gefunden? bei mir hab ichs nich geschafft, aber bei nem anneren Mailer gings über ne einfache Whois-Abfrage und dann eines der 2 untersten Domains ... klappte bei mir aba nich^^

    Aber das problem ist nich die zu finden. Ich meinte auch was anderes. Wenn man bei google nach " "phpMyAdmin" [...] " (sicherheitshalber gekürzt...) sucht kommt ne Liste mit phpMyAdmin Seiten, wo ich rein kann, DB's einsehn, Tabellen löschen, editiern, einfügen... also das machen kann was man eig. nur machen können sollte wenn an Benutzername+Passwort kenn.
    Dass man die 2 auch durch ausprobiern finden kann weiss ich auch, aber so gehts halt wirklich viel schneller und man findet auch einige. Zwar kann man so nicht gezielt suchn, aber wenn an sich damit weiter beschäftigt krigt man das auch hin...
    Wieso man da rein kann versteh ich auch nich, da wird doch n Cookie aufm PC vom besitzer gespeichert, so dürfte doch nur der drauf können der diesen Cookie hat... in der URL steht auch nix von Sessionid oder so...

    Hoffe jetz is klarer was gemeint ist. Da sollte es doch eig. reichen auf den "exit"-button (oben links) zu klicken, das man dann nich mehr per google drauf kann.

    Und bei der Sache über google bringt ebn dieses "Sperren nach x Versuchen" auch nix... es gibt ja keine versuche: ich seh den Link, klick drauf, bin drin^^

  4. #4
    Forum Guru Avatar von The User
    Registriert seit
    28.10.2007
    Ort
    Zwischen Pazifik und Atlantik...
    Beiträge
    4.044
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Datenbanksicherheit...

    Vielleicht sind das phpMyAdmin-Demo-Seiten?
    So gehts übrigens:
    PHP-Code:
    echo gethostbyaddr(gethostbyname('chaos-mailtausch.de')) . '/phpMyAdmin'

  5. #5
    Interessierte/r
    Themenstarter

    Registriert seit
    19.10.2005
    Beiträge
    147
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Datenbanksicherheit...

    nene, Demo-DB würde eher weniger aus zahlreichen tabellen mit einigem Inhalt, Usernamen, passwörter etc. bestehn^^ Google Link kommt per PN, kannste auch ma schauen.
    Das neuste was ich da seh ist version 2.7.1, ich hab 2.11.9.2, ist es vllt bei mir garnicht mehr möglich das man so rein kommt? dann hätte sich das für mich geklärt^^

  6. #6
    Bandit
    Gast

    Standard AW: Datenbanksicherheit...

    Sind das phMyAdmin-Installationen, die im Bereich der Homepage eingebaut wurden und nicht entsprechend gesichert wurden?

  7. #7
    Forum Guru Avatar von The User
    Registriert seit
    28.10.2007
    Ort
    Zwischen Pazifik und Atlantik...
    Beiträge
    4.044
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Datenbanksicherheit...

    Nicht im Bereich der Homepage.
    Aber wenn du nach dem typischen phpMyAdmin-Inhalt bei Google suchst, findest du Seiten. Er hat mir einen Link geschickt, wo man mit vollen Schreibrechten die Datenbank verändern konnte. Die Passwörter waren zudem ungehasht. War glaube ich auch eine ältere phpMyAdmin-Version. Habe dem Kerl erstmal eine Email geschickt. Der schimpft sich Webdesigner, das waren auch nicht seine eigenen Seiten, sondern die von Kunden.

  8. #8
    Interessierte/r
    Themenstarter

    Registriert seit
    19.10.2005
    Beiträge
    147
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Datenbanksicherheit...

    jetz haste gesehn was ich meinte^^
    schreib die leutchens auch gerne an, aber ohne irgendwie sagen zu können was die denn da anders machen sollten/könnten/müssten is auch irgendwie blöd ... dann nehmen se die DB raus und joa... weiter passiert nix, is ja auch nich sinn der sache. Würd ja Link jetz hier rein setzten, aber weiss nich wie viele leute das dann wie nutzen^^

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •