[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2005 ml@sikurezza.org Soggetto: Re: [ml] MySQL da remoto Mittente: Stefano Di Paola Data: Mon, 24 Oct 2005 11:13:18 +0200 (CEST)
Intanto e' necessario ben gestire gli utenti di Mysql: - root da trusted hosts o ancora meglio se da localhost e basta. - utente non privilegiato per l'accesso al db in questione possibilmente da trusted IP. - eliminazione degli utenti anonimi. - nessuna interfaccia di amministrazione attiva sul server web tipo phpmyadmin o quantomeno con autenticazione. http://www.ngssoftware.com/papers/HackproofingMySQL.pdf Ovviamente usando Mysql server stabile e patchato visto che: http://www.nextgenss.com/advisories/mysql-authbypass.txt versioni vulnerabili MySQL 4.1 prior to 4.1.3, and MySQL 5.0. Per lo sniffing dei dati direi che l'unica cosa e' usare tunnel cifrati... Per lo sniffing delle credenziali dice bene Zen. C'e' l'autenticazione stile HMAC...ma se c'e' gia' un Mitm allora serve a poco dato che in questa eventualita' si possono iniettare comandi in tempo reale sulla connessione... My 2c Stefano -- ......---oOOo--------oOOo---...... Stefano Di Paola Software Engineer Email: stefano.dipaola_at_wisec.it Email: stefano.dipaola1_at_tin.it Web: www.wisec.it ..................................
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005