ID SuperUser установленный по умолчанию уязвимость это или нет?
- Escator
- Автор темы
- Не в сети
- Новый участник
- Сообщений: 4
- Спасибо получено: 2
У кого какие мысли на этот счет? Стоит изменять ID ? Имеет ли смысл блокировать пользователя с этим ID, если достаточно поменять значение в поле block на 0 и он опять активен ?
И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- Wedal
- Не в сети
- Администратор
- Сообщений: 2869
- Спасибо получено: 659
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- Escator
- Автор темы
- Не в сети
- Новый участник
- Сообщений: 4
- Спасибо получено: 2
Wedal пишет: Escator, смысл, наверное, все-таки есть, поскольку злоумышленник, зная ID админа, может попытаться получить данные из базы путем SQL-инъекции. Проще говоря, такое допущение с ID упрощает для злоумышленника поиск уязвимостей, но если ваш сайт не представляет особой ценности, то и смысла искать в нем уязвимости нет.
Я совершенно с вами согласен, что при помощи SQL-инекции злоумышленник может изменить и пароль и активировать отключенного пользователя. Именно по этому на мой взгляд пользователь с ID по умолчанию и должен быть удален из системы полностью, а не просто изменяться на случайные данные и отключаться (как это делает Аdmin Tools) т.к. права SuperUser у него все равно остаются и если уже удалось хакеру "поставить укол" базе, то он просто реанимирует пользователя по ID и получит управление.
И соответственно вытекающий вопрос, если злоумышленник нашел возможность ставить базе "уколы", то он сможет и легко завести нового пользователя установив ему нужные права?
И уважаемый Wedal ответьте еще на этот вопрос:
Escator пишет: И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- Wedal
- Не в сети
- Администратор
- Сообщений: 2869
- Спасибо получено: 659
Зависит от инъекции. Т.е. как повезет.И соответственно вытекающий вопрос, если злоумышленник нашел возможность ставить базе "уколы", то он сможет и легко завести нового пользователя установив ему нужные права?
Думаю, немного можно, но смысла в этом мало. Я обычно не ограничиваю права.И еще вопрос возник по ходу, пользователю базы данных обязательно устанавливать полные права или можно ограничить его в какой-то степени без возникновения ошибок при работе сайта?
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.