خفايا الأنترنت  خفايا الأنترنت

آخر الأخبار

جاري التحميل ...

ثغرة CSRF على phpMyAdmin

اكتشاف ثغرة من نوع CSRF على نظام ادارة قواعد البيانات الشهير phpMyAdmin, 
تم الابلاغ على ثغرة جديدة على phpMyAdmin و يعتبر phpMyAdmin واحد من افضل التطبيقات على الاطلاق ل  لإدارة قاعدة بيانات MySQL, و تسمح الثغرة ب التعديل و الحذف على الجداول الموجودة ب قاعدة البيانات و يتم هاذا عن طريق خداع الادمن او مشرفي المواقع على الضغط على رابط و الرابط يقوم ب عملية خبيثة على قاعدة البيانات .
 و تم اكتشاف الشغرة من طرف باحثين في الأمن المعلوماتي من الهند  Ashutosh Barot, و الثغرة عبارة عن cross-site request forgery (CSRF)  و الاصدار المصاب هو phpMyAdmin versions 4.7.x  و تم اصلاح الثغرة في الاصدار الجديد 4.7.7 .

 و لكي يتم استغلال ثغرات Cross-site request forgery او ما تعرف ب XSRF يجب ان يقوم المهاجم ب خداع الضحية و يجبره على الضغط على احد الروابط الخبيثة و التي قد تأدي الى عواقب وخيمة مثل التعديل على الجداول او حذفها .... الخ .
و بحسب تصريحات المسؤولين على phpMyAdmin : "من خلال خداع المستخدم  و اجباره على النقر على رابط خبيث ، فمن الممكن أداء عمليات على  قاعدة البيانات دون ان تشعر  مثل حذف السجلات، dropping / اقتطاع الجداول، وما إلى ذلك".
و يتم اسخدام phpMyAdmin في ملايين المواقع من جميع انحاء العالم و يت استخدامه على العديد من انظمة ادارة المحتوى مثل ورد برس و جوملا و الكثير من انظمة ادارة المحتوى الأخرى, وعلاوة على ذلك، تقوم الكثير من الاستضافات ب تقديم phpMyAdmin ك خدمة لعملائها ل ادارة قواعد البيانات الخاصة بهم.



و كما تشاهد ب الفيديو ب الاعلى و الذي تم نشره من قبل Barot , فانه تم حذف احد الجداول الموجودة ب قاعدة البيانات ب مجرد الضغط على الرابط .
و يرجى الملاحضة ان استغلال الثغرة ليس ب الامر السهل ابدا لانه يجب على المهاجم ان يقوم ب ايجاد اسم قاعدة الباينات للضحية لكي يقوم ب بناء رابط خبيث.
ان كنت من مستخدمي phpMyAdmin على موقعك او شركتك فيجب عليك ان تقوم ب الترقية الى الاصدار  4.7.7  الذي تم اصلاح الثغرة به .
المرجع 
https://www.phpmyadmin.net/security/PMASA-2017-9/

عن الكاتب

souhaib naceri صهيب ناصري مدون جزائري أبلغ من العمر 21 سنة أحب مشاركة أفكاري على الانترنت متخصص في مجال التقنية و أمن المعلومات أهدف الى إثراء المحتوى العربي بالمحتوى الحصري فقط!

التعليقات


اتصل بنا

إذا أعجبك محتوى مدونتنا نتمنى البقاء على تواصل دائم ، فقط قم بإدخال بريدك الإلكتروني للإشتراك في بريد المدونة السريع ليصلك جديد المدونة أولاً بأول ، كما يمكنك إرسال رساله بالضغط على الزر المجاور ...

جميع الحقوق محفوظة

خفايا الأنترنت

كل عام والأمة الأسلامية بخير

رمضان كريم