ID SuperUser установленный по умолчанию уязвимость это или нет?

5 года 6 мес. назад #3642 от Escator
Возник вопрос по поводу ID SuperUser который Joomla 1.5 по умолчанию назначает ID 62, а Joomla 2.5 как ID 42. Admin Tools от Nicholas K. Dionysopoulos говорит, что это опасная уязвимость и предлагает изменить ID на другой, а запись с ID по умолчанию меняет на случайный логин и пароль и отключает. Но мне не понятно в чем уязвимость, ведь если рассуждать логически, то все подобные изменения, ничего по сути в безопасности не меняют. Так как все данные хранятся в таблице users, и если хакер получит доступ к базе данных, то он сможет манипулировать данными пользователей как угодно. На мой взгляд достаточно просто более серьезно отнестись к основным шагам защиты (например Jsecure для админки, длинный и сложный префикс для таблиц базы, устойчивые пароли для всех пользователей сайта и для пользователя базы данных)

У кого какие мысли на этот счет? Стоит изменять ID ? Имеет ли смысл блокировать пользователя с этим ID, если достаточно поменять значение в поле block на 0 и он опять активен ?

И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

5 года 6 мес. назад #3644 от Wedal
Escator, смысл, наверное, все-таки есть, поскольку злоумышленник, зная ID админа, может попытаться получить данные из базы путем SQL-инъекции. Проще говоря, такое допущение с ID упрощает для злоумышленника поиск уязвимостей, но если ваш сайт не представляет особой ценности, то и смысла искать в нем уязвимости нет.

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

5 года 6 мес. назад #3645 от Escator

Wedal пишет: Escator, смысл, наверное, все-таки есть, поскольку злоумышленник, зная ID админа, может попытаться получить данные из базы путем SQL-инъекции. Проще говоря, такое допущение с ID упрощает для злоумышленника поиск уязвимостей, но если ваш сайт не представляет особой ценности, то и смысла искать в нем уязвимости нет.


Я совершенно с вами согласен, что при помощи SQL-инекции злоумышленник может изменить и пароль и активировать отключенного пользователя. Именно по этому на мой взгляд пользователь с ID по умолчанию и должен быть удален из системы полностью, а не просто изменяться на случайные данные и отключаться (как это делает Аdmin Tools) т.к. права SuperUser у него все равно остаются и если уже удалось хакеру "поставить укол" базе, то он просто реанимирует пользователя по ID и получит управление.

И соответственно вытекающий вопрос, если злоумышленник нашел возможность ставить базе "уколы", то он сможет и легко завести нового пользователя установив ему нужные права?

И уважаемый Wedal ответьте еще на этот вопрос:

Escator пишет: И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

5 года 6 мес. назад #3658 от Wedal

И соответственно вытекающий вопрос, если злоумышленник нашел возможность ставить базе "уколы", то он сможет и легко завести нового пользователя установив ему нужные права?

Зависит от инъекции. Т.е. как повезет.

И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?

Думаю, немного можно, но смысла в этом мало. Я обычно не ограничиваю права.

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.


Вверх