it-swarm.com.de

Abrufen von Datenbankanmeldeinformationen aus der Themendatei

Ich habe einen Freiberufler, der an einem Programm für mich arbeitet.

Ich gab ihm Zugriff auf den Themenordner per FTP. Er hat phpMiniAdmin in diesen Ordner hochgeladen und irgendwie die Datenbankanmeldeinformationen erhalten, mit denen er sich dann anmeldete.

Wie hat er es geschafft, diese Ausweise zu erhalten? Gibt es eine Sicherheitsanfälligkeit, die ausgenutzt werden kann, sobald Sie Dateien auf den Server hochladen können?

2
Dan W.

Alles, was er tun musste, war diesen PHP Code in eine beliebige Vorlagendatei zu schreiben und auszuführen:

var_dump(DB_NAME, DB_USER, DB_PASSWORD, DB_Host);

Eine Zeile und es werden alle DB-Anmeldeinformationen gedruckt.

Wie Sie sehen, sind keine Sicherheitslücken erforderlich.

Der gesamte PHP Code hat Zugriff auf diese Anmeldeinformationen. Und das muss es - sonst kann es nicht auf DB zugreifen ...

7

Wenn sie Dateien hochladen können, können sie eine PHP-Datei hochladen, die die Datenbankanmeldeinformationen von wp-config.php lesen kann. Wenn Sie Zugriff auf den Server haben, können Sie fast alles tun. Geben Sie diesen Zugang nicht an Personen, denen Sie nicht vertrauen. Hier gibt es keine Verwundbarkeit, Sie haben ihnen nur die Schlüssel gegeben.

3
Jacob Peattie