MySQL 客户端允许 MySQL 服务器请求任何本地文件

栏目: IT资讯 · 发布时间: 5年前

内容简介:近期大型商务网站和政府网站被黑客通过 Adminer 数据库入侵,根本原因是 MySQL 的协议缺陷。 但在官方文档显示,客户端主机到服务器主机的文件传输由 MySQL 服务器启动。理论上,客户端程序选择的文件不应是 LOAD...

近期大型商务网站和政府网站被黑客通过 Adminer 数据库入侵,根本原因是 MySQL 的协议缺陷。

但在官方文档显示,客户端主机到服务器主机的文件传输由 MySQL 服务器启动。理论上,客户端程序选择的文件不应是 LOAD DATA 语句中客户端指定的文件,而应该是传输服务器选择的文件。

MySQL 客户端允许 MySQL 服务器请求任何本地文件

虽然由很大的泄密风险,但服务器必须知道客户端上文件的完整路径,才可能成功。而请求/self/proc/environ,服务器就可以了解客户端上的文件夹结构。

一些客户端和库具有对此“功能”的内置保护,或者在默认情况下禁用它(例如 GolangPythonPHP-PDO)。但并非所有都会这么做,正如 Adminer 案例所示。Adminer 很可能不会是最后一个出现该问题的



以上所述就是小编给大家介绍的《MySQL 客户端允许 MySQL 服务器请求任何本地文件》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

图解HTTP

图解HTTP

【日】上野宣 / 于均良 / 人民邮电出版社 / 2014-4-15 / 49.00元

本书对互联网基盘——HTTP协议进行了全面系统的介绍。作者由HTTP协议的发展历史娓娓道来,严谨细致地剖析了HTTP协议的结构,列举诸多常见通信场景及实战案例,最后延伸到Web安全、最新技术动向等方面。本书的特色为在讲解的同时,辅以大量生动形象的通信图例,更好地帮助读者深刻理解HTTP通信过程中客户端与服务器之间的交互情况。读者可通过本书快速了解并掌握HTTP协议的基础,前端工程师分析抓包数据,后......一起来看看 《图解HTTP》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具