Fornisce informazioni di accesso a un database mysql di sola lettura al pubblico una minaccia alla sicurezza?

2

Stavo cercando di fornire informazioni di accesso a un database MySQL di sola lettura (tramite phpmyadmin) al pubblico (gli utenti del mio programma) da utilizzare a fini di riferimento in un ambiente di produzione. Potrei rischiare qualcosa dalla mia parte in questo modo (assumendo che tutti i privilegi fossero bloccati e gli utenti potevano letteralmente leggere solo il database)?

Dati come: Convalida della licenza (Verifica se un utente ha acquistato una chiave di licenza e se rimuove il piè di pagina del copyright) e Dati simili: addebito di addebito o e-mail degli utenti Fradulent Paypal

La mia unica preoccupazione principale è che l'intero server venga compromesso solo perché qualcuno conosce un nome utente o una password per il vero database di sola lettura.

    
posta aman207 02.04.2014 - 06:58
fonte

2 risposte

7

Sì, ovviamente è una potenziale minaccia alla sicurezza. MySQL può sempre avere una vulnerabilità, forse qualcosa come CVE-2003-0150 Vulnerabilità di escalation dei privilegi root MySQL di molti anni fa.

Nuovi difetti possono essere introdotti con qualsiasi aggiornamento, e vecchi difetti possono essere scoperti in qualsiasi momento.

Solo perché chiedi a MySQL di non permettere all'utente di eseguire o creare qualcosa, non significa che MySQL sia perfettamente efficace a farlo in ogni momento e dopo ogni aggiornamento.

E, naturalmente, se poi è possibile eseguire SELECTs, è possibile eseguire SELECT con un prodotto cartesiano abbastanza grande da soffocare il server completamente tramite IO e / o carico della CPU, o consumare la maggior parte della larghezza di banda della rete che possono ottenere.

Questo non significa nemmeno il possibile divertimento con il livello di isolamento della transazione per provare a causare blocchi e deadlock. Attenzione anche ai tavoli temporanei, naturalmente.

    
risposta data 02.04.2014 - 08:04
fonte
3

Would I be risking anything on my side by doing so?

Sì.

... Anche se il sistema è "sicuro" (cioè nessuna vulnerabilità priv esc come l'altro ragazzo ha menzionato correttamente - stai rendendo facile l'accesso a questo tipo di cose) possono eseguire il tuo sistema con query costose .

Inoltre, mi assicurerò di bloccare definitivamente tutti i privilegi per rovinare il divertimento come

…’ UNION ALL SELECT LOAD_FILE(‘/etc/passwd’) -— priv, can only read world-readable files.
    
risposta data 02.04.2014 - 07:55
fonte

Leggi altre domande sui tag