有时在我们的Web服务器上安装新产品时,我注意到安装管理器(通常是一个简单的HTML / PHP界面)会自动在表单中填写我们的MySQL详细信息以设置数据库。用户和密码是正确的,但我自己从未输入过。
如果软件能够做到这一点,黑客不可能做同样的事吗?我是否需要采取任何其他预防措施?
我已经设置了权限,除了指定的用户之外没有人可以执行这些脚本,但它仍然让我想知道它是否可以被某种方式利用。
答案 0 :(得分:0)
通常这些“产品”应该要求您在完成安装后立即删除数据库安装脚本,以便将来没有其他人可以执行数据库安装脚本。
此外,您不会创建或使用任何允许某人在服务器上上传php或任何其他可执行文件然后执行它的脚本。
答案 1 :(得分:0)
您的环境可能正在设置mysql.default_user和mysql.default_password,这些安装脚本可能正在查看。尝试运行phpinfo()以确定运行时配置,并查看是否已设置这些配置选项。
查看PHP MySql Configuration Manual
您是否认为任何脚本有权访问MySql凭据是否存在风险取决于您的环境。我可能会错误地设置这些选项,而不仅仅是因为可能存在安全隐患。
答案 2 :(得分:0)
用户名和密码未加密且可读。可以访问您的数据库的脚本可以访问此信息。
攻击者需要在您的网络服务器上传或执行脚本才能执行此操作。我不知道如何加密MySQL的用户名/密码。
出于这个原因,您应该在不再需要它们之后删除任何安装脚本。