2012年10月11日
phpmyadmin 万能密码漏洞
摘要: 基本2.x.x 版本,空密码也能登录phpmyadmin ,'localhost'@'@'' 查了下,基于mysql 数据库权限的漏洞造成默认会有一个user 为’’ 空的帐号''@localhostmysql -u'' -p 直接能进数据库,把这个帐号删除就ok了 ,drop user ''@localhost或者升级高版本的phpmyadmin 。3.x 版本就没有的虽然这个权限不大,但是可以透过他上传木马。网上有些人说 ”其实是类似--user=mysql --skip-grant-tables -- 阅读全文
posted @ 2012-10-11 21:27 过去的我 阅读(2709) 评论(0) 推荐(0)