【待反馈】phpmyadmin公共访问权限默认开启安全风险
新安装宝塔phpmyadmin公共访问权限默认开启。自己都建议phpmyadmin启用公共访问权限可能存在安全风险,建议非必要不启用!/www/wwwlogs/access.log 644权限(公共读),如果网站出现文件读取漏洞,读取access.log和数据库连接文件数据库就被黑了
您好,phpmyadmin只是一个可以提供面板链接的界面,还是需要您输入账号密码才能登陆,如果您不想使用公共权限的是可以通过手动关闭的
这个access.log文件的所有者是www账号,而www账号在面板上仅仅只有运行web服务的权限,并未有其他特殊权限
正常的文件权限是700 运维技术阿闯 发表于 2024-5-24 14:20
您好,phpmyadmin只是一个可以提供面板链接的界面,还是需要您输入账号密码才能登陆,如果您不想使用公共权 ...
文件读取漏洞可以读取网站数据库配置(包含数据库账户密码),可以读取/www/wwwlogs/access.log 这个文件权限是www 700 ,网站权限也是www可以任意读取敏感信息,获取phpmyadmin随机的访问路径。加上phpmyadmin默认开启公网访问 直接打进数据库! ITCN 发表于 2024-5-24 21:25
文件读取漏洞可以读取网站数据库配置(包含数据库账户密码),可以读取/www/wwwlogs/access.log 这个文件 ...
您好,您这边可以详细说一下吗
页:
[1]