当前位置: 首页 > 面试题库 >

如何保护phpMyAdmin

陈高寒
2023-03-14
问题内容

我注意到我的网站上有奇怪的请求,试图找到phpmyadmin,例如

/phpmyadmin/
/pma/

等等

现在,我已经通过apt在Ubuntu上安装了PMA,并希望通过不同于/ phpmyadmin /的网址访问它。我该怎么做才能改变它?

谢谢

更新资料

对于Ubuntu
9.10和Apache2,相应的设置位于该文件/etc/apache2/conf.d/phpmyadmin.conf的链接中/etc/phpmyadmin/apache.conf。该文件包含

Alias /phpmyadmin /usr/share/phpmyadmin

/phpmyadmin如果要避免不必要的活动,则应将第一个更改为其他内容,例如:

Alias /secret /usr/share/phpmyadmin

问题答案:

最大的威胁是攻击者可能利用诸如以下的漏洞:目录遍历,或使用SQL
Injection调用load_file()以读取配置文件中的纯文本用户名/密码,然后使用phpmyadmin或通过tcp端口3306登录。作为pentester,我使用了这种攻击模式来破坏系统。

这是锁定phpmyadmin的好方法:

  • 禁止远程root登录! 相反,可以将phpmyadmin配置为使用“ Cookie身份验证”来限制哪些用户可以访问系统。如果您需要一些root特权,请创建一个可以添加/删除/创建但没有grant或的自定义帐户file_priv
  • file_priv从每个帐户中删除权限。file_priv是MySQL中最危险的特权之一,因为它允许攻击者读取文件或上传后门。
  • 有权访问phpmyadmin界面的白名单IP地址。这是一个.htaccess重新设置示例:
Order deny,allow
Deny from all
allow from 199.166.210.1
  • 没有可预测的文件位置,例如:http://127.0.0.1/phpmyadmin。Nessus / Nikto / Acunetix / w3af等漏洞扫描程序将对此进行扫描。

  • 关闭tcp端口3306的防火墙,以使攻击者无法访问它。

  • 使用HTTPS,否则数据和密码可能会泄露给攻击者。如果您不想花30美元购买证书,请使用自签名。您将接受一次,即使由于MITM而更改它,也会收到通知。



 类似资料:
  • 问题内容: 我已经使用Socket.IO了几天,这既令人兴奋又令人沮丧。缺少当前的文档/教程使学习变得非常困难。我终于设法创建了一个基本的聊天系统,但是有一个明显的问题。如何保护它? 是什么阻止了恶意用户复制(或编辑)我的代码并连接到我的服务器?我可以从我的PHP脚本中获取用户名并将其提交给Socket.IO,这样我就可以将他们识别为该用户(当然,PHP具有安全性),但是又是什么阻止了某人仅提交未

  • 问题内容: 关键字授予对相同包和子类(http://java.sun.com/docs/books/tutorial/java/javaOO/accesscontrol.html)中的类的访问权限。 现在,每个类都有一个超类(http://java.sun.com/j2se/1.5.0/docs/api/java/lang/Object.html)。 因此,我得出结论,即使每个类都可以访问的方法。

  • 问题内容: 我想制作一个不是开源的JavaScript应用程序,因此我想学习如何混淆我的JS代码?这可能吗? 问题答案: 可以使用: Google Closure编译器 UglifyJS 更新:这个问题最初是在10多年前提出的,并且不再维护YUI。 Google Closure编译器仍在使用,并且UglifyJS可以通过节点包管理器在本地运行: 私有字符串数据: 将字符串值设为私有是另一个问题,而

  • 问题内容: 通常在服务器级别阻止DDoS(分布式拒绝服务攻击),对吗? 有没有办法在PHP级别上阻止它,或者至少减少它? 如果没有,阻止DDoS攻击的最快,最常见的方法是什么? 问题答案: DDOS是一系列攻击,它们淹没了数据中心的关键系统,其中包括: 托管中心与互联网的网络连接 托管中心的内部网络和路由器 您的防火墙和负载平衡器 您的Web服务器,应用程序服务器和数据库。 在开始构建DDOS防御

  • 问题内容: 我正在用Python开发一款软件,该软件将分发给雇主的客户。我的雇主想通过限时许可文件限制软件的使用。 如果我们分发文件甚至文件,将很容易(反编译和)删除检查许可证文件的代码。 另一个方面是,我的雇主不希望我们的客户阅读该代码,因为担心该代码可能被盗或至少是“新颖的主意”。 有解决这个问题的好方法吗?最好使用现成的解决方案。 该软件将在Linux系统上运行(因此,我认为py2exe不会

  • 问题内容: 实际上,我是一名PHP开发人员。我想出售我的PHP产品。 因此,我想保护PHP中的一些主要源代码。但是在PHP中这是不可能的。 我也知道Golang 因此,我想在golang代码中构建秘密算法并编译为二进制。 最后,我想用PHP代码和&二进制程序保护我的PHP主要算法。 我的疑问是: 当我将golang源代码编译为二进制文件时。是否可以从二进制文件中获取golang源代码? 问题答案: