Добро пожаловать, Гость
Логин: Пароль: Запомнить меня

ID SuperUser установленный по умолчанию уязвимость это или нет?

ID SuperUser установленный по умолчанию уязвимость это или нет? 5 года 4 мес. назад #3642

  • Escator
  • Escator аватар
  • Не в сети
  • Прохожий
  • Сообщений: 4
  • Спасибо получено: 2
  • Репутация: 0
Возник вопрос по поводу ID SuperUser который Joomla 1.5 по умолчанию назначает ID 62, а Joomla 2.5 как ID 42. Admin Tools от Nicholas K. Dionysopoulos говорит, что это опасная уязвимость и предлагает изменить ID на другой, а запись с ID по умолчанию меняет на случайный логин и пароль и отключает. Но мне не понятно в чем уязвимость, ведь если рассуждать логически, то все подобные изменения, ничего по сути в безопасности не меняют. Так как все данные хранятся в таблице users, и если хакер получит доступ к базе данных, то он сможет манипулировать данными пользователей как угодно. На мой взгляд достаточно просто более серьезно отнестись к основным шагам защиты (например Jsecure для админки, длинный и сложный префикс для таблиц базы, устойчивые пароли для всех пользователей сайта и для пользователя базы данных)

У кого какие мысли на этот счет? Стоит изменять ID ? Имеет ли смысл блокировать пользователя с этим ID, если достаточно поменять значение в поле block на 0 и он опять активен ?

И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?
Чтобы оставлять сообщения нужно зарегистрироваться.

Re: ID SuperUser установленный по умолчанию уязвимость это или нет? 5 года 4 мес. назад #3644

  • Wedal
  • Wedal аватар
  • Не в сети
  • Администратор
  • Сообщений: 2557
  • Спасибо получено: 601
  • Репутация: 218
Escator, смысл, наверное, все-таки есть, поскольку злоумышленник, зная ID админа, может попытаться получить данные из базы путем SQL-инъекции. Проще говоря, такое допущение с ID упрощает для злоумышленника поиск уязвимостей, но если ваш сайт не представляет особой ценности, то и смысла искать в нем уязвимости нет.
Чтобы оставлять сообщения нужно зарегистрироваться.

Re: ID SuperUser установленный по умолчанию уязвимость это или нет? 5 года 4 мес. назад #3645

  • Escator
  • Escator аватар
  • Не в сети
  • Прохожий
  • Сообщений: 4
  • Спасибо получено: 2
  • Репутация: 0
Wedal пишет:
Escator, смысл, наверное, все-таки есть, поскольку злоумышленник, зная ID админа, может попытаться получить данные из базы путем SQL-инъекции. Проще говоря, такое допущение с ID упрощает для злоумышленника поиск уязвимостей, но если ваш сайт не представляет особой ценности, то и смысла искать в нем уязвимости нет.

Я совершенно с вами согласен, что при помощи SQL-инекции злоумышленник может изменить и пароль и активировать отключенного пользователя. Именно по этому на мой взгляд пользователь с ID по умолчанию и должен быть удален из системы полностью, а не просто изменяться на случайные данные и отключаться (как это делает Аdmin Tools) т.к. права SuperUser у него все равно остаются и если уже удалось хакеру "поставить укол" базе, то он просто реанимирует пользователя по ID и получит управление.

И соответственно вытекающий вопрос, если злоумышленник нашел возможность ставить базе "уколы", то он сможет и легко завести нового пользователя установив ему нужные права?

И уважаемый Wedal ответьте еще на этот вопрос:Escator пишет:
И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?
Чтобы оставлять сообщения нужно зарегистрироваться.

Re: ID SuperUser установленный по умолчанию уязвимость это или нет? 5 года 4 мес. назад #3658

  • Wedal
  • Wedal аватар
  • Не в сети
  • Администратор
  • Сообщений: 2557
  • Спасибо получено: 601
  • Репутация: 218
И соответственно вытекающий вопрос, если злоумышленник нашел возможность ставить базе "уколы", то он сможет и легко завести нового пользователя установив ему нужные права?
Зависит от инъекции. Т.е. как повезет.
И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?
Думаю, немного можно, но смысла в этом мало. Я обычно не ограничиваю права.
Чтобы оставлять сообщения нужно зарегистрироваться.
Время создания страницы: 0.129 секунд

Вверх