MySQL 客户端允许 MySQL 服务器请求任何本地文件

最新推荐文章于 2024-07-30 17:03:01 发布
原创 最新推荐文章于 2024-07-30 17:03:01 发布 · 185 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #python #数据库

近期,大型商务网站和政府网站遭遇黑客通过Adminer数据库入侵,揭示了MySQL协议的潜在缺陷。此攻击利用了LOAD DATA语句中客户端指定文件的功能,尽管部分客户端如Golang、Python等已内置保护或默认禁用此功能,但Adminer等工具的安全性仍有待加强。

开发四年只会写业务代码,分布式高并发都不会还做程序员? >>>  hot3.png

近期大型商务网站和政府网站被黑客通过 Adminer 数据库入侵,根本原因是 MySQL 的协议缺陷。

但在官方文档显示,客户端主机到服务器主机的文件传输由 MySQL 服务器启动。理论上,客户端程序选择的文件不应是 LOAD DATA 语句中客户端指定的文件,而应该是传输服务器选择的文件。

虽然由很大的泄密风险,但服务器必须知道客户端上文件的完整路径,才可能成功。而请求/self/proc/environ,服务器就可以了解客户端上的文件夹结构。

一些客户端和库具有对此“功能”的内置保护,或者在默认情况下禁用它(例如 GolangPythonPHP-PDO)。但并非所有都会这么做,正如 Adminer 案例所示。Adminer 很可能不会是最后一个出现该问题的


NodeJS连接MySQL8.0报错: 客户端不支持服务器请求的身份验证协议;考虑升级MySQL客户端
Retxp的博客
05-20 609
解决报错: 客户端不支持服务器请求的身份验证协议;考虑升级MySQL客户端
MySQL服务器是如何处理客户端请求
pc11203的博客
12-26 1201
剖析MySQL服务器处理客户端请求流程
mysql远程读取本地文件_本地MySQL数据库要访问远程MySQL数据库的表中的数据的实现...
weixin_29370077的博客
01-19 347
1.实现基本思路:借助MySQL的federated 存储引擎实现federated 存储引擎简单介绍 :federated 是其中一个专门针对远程数据库的实现。一般情况下在本地数据库中建表会在数据库目录中生成相应的表定义文件,并同时生成相应的数据文件。但通过federated 引擎创建的表只是在本地有表定义文件,数据文件则存在于远程数据库中2.查看当前数据库服务是否支持 federated...
MySQL启用或禁用本地数据加载功能
Bevisxia的博客
11-09 1163
MySQL启用或禁用本地数据加载功能
mysql 加载本地数据文件
梦之马
10-01 5255
表格和数据文件CREATE TABLE pet (name VARCHAR(20), owner VARCHAR(20),species VARCHAR(20), sex CHAR(1), birth DATE, death DATE); [hadoop@master ~]$ cat datafile.txt Fluffy Harold cat f 1993-02-04 Claws Gwen c
mysql远程读取本地文件_配置MySQL以进行本地和远程访问
weixin_36302134的博客
01-19 560
I'm using MySQL server version: 10.1.23-MariaDB-9+deb9u1 Raspbian 9.0 on a Raspberry Pi.This is my /etc/mysql/my.cnf:# The MariaDB configuration file## The MariaDB/MySQL tools read configuration files...
Navicat For Mysql连接Mysql8.0报错:客户端不支持服务器请求的身份验证协议
最新发布
weixin_44902108的博客
07-30 1607
windows通过navicat连接本地mysql时报错:Client does not support authentication protocol requested by server; consider upgrading MySQL client
精选资源
MySQL服务器MySQL客户端、JDBC驱动
08-05
MySQL客户端则是一系列工具,允许用户与MySQL服务器进行交互。这些客户端可以是命令行界面(如mysql命令),也可以是图形化用户界面(如MySQL Workbench)。通过客户端,用户可以创建数据库执行SQL语句、管理用户...
android_blog.zip_Android 数据库_Android数据库_android_mysql客户端_服务器 数据库
09-23
3. **MySQL 客户端**: 在这个项目中,可能包含了一个用于与MySQL服务器通信的Android客户端模块。客户端可能使用了诸如`JDBC`(Java Database Connectivity)或第三方库如`MySQL-Connector/J`来连接服务器上的MySQL...
MySQL服务端恶意读取客户端文件漏洞 (DDCTF2019和国赛均涉及到这个漏洞)
weixin_30698297的博客
05-06 596
mysql协议中流程和go语言实现的恶意mysql服务器:https://blog.youkuaiyun.com/ls1120704214/article/details/88174003 poc :https://github.com/allyshka/Rogue-MySql-Server 简单的原理:http://aq.mk/index.php/archives/23/ 今天实验了好久,直到最后一次...
MySQL访问权限系统和访问控制
anzhen0429的博客
07-01 7431
6.1一般安全问题 6.1.1安全指南       运行MySQL时,请遵循以下准则:      (1)不要给任何人(MySQL root帐户除外 )访问 数据库中的 user表mysql!这是至关重要的。     (2)了解MySQL访问权限系统的工作原理(参见 第6.2节“MySQL访问权限系统”)。使用 GRANTand REVOKE语句来控制对MySQL的访问。不 要授予比必要更多
mysql本地文件的读取_Mysql 任意读取客户端文件
weixin_31221157的博客
01-19 1658
load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';实现:Mysql Server会读取服务端的/etc/passwd,然后将其数据按照'\n'分割插入表中,但现在这个语句同样要求你有FILE权限,以及非local加载的语句也受到secure_file_priv的限制流程的话是: 客户端 读取 服务端本地...
禁止MySQL本地文件进行存取
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
09-11 1726
/etc/my.cnf中添加 set-variable=local-infile=0
使用HeidiSQL连接Mysql数据库:导入本地csv文件,报错解决方法
Destiny12345678的博客
02-16 6668
第一次使用HeidiSQL连接MySQL,数据库连接成功后,进行csv文件的导入。 本地文件存储于: 尝试在heidiSQL中采用导入csv加载本地文件,报错如下: SQL错误3968:loading local data is disabled,this must be enabled on both the client and server sides (中文意思:SQL错误3968:已禁...
MySQL服务 - 客户端工具mysqlmysqladmin使用介绍
weixin_30409849的博客
04-22 573
mysql客户端mysql工具是MySQL官方提供的连接工具,用户可以通过mysql连接到mysqld上进行一系列的SQL操作。mysql工具有两种模式:交互模式和命令行模式。交互模式指令需要连接到mysql服务器下达,命令行模式通过特定(-e)参数读取shell命令行传递的指令到服务器mysql客户端的命令行参数: mysql [OPTIONS] [database] -...
本地navicat与服务器建立连接的常见问题
weixin_45396965的博客
08-18 1783
navicat与服务器建立连接的常见问题 https://jingyan.baidu.com/article/e4511cf36db5282b845eaf2b.html
mysql 流读取文件_MySQL之文件读取
weixin_34254083的博客
02-07 1249
读取服务端文件读取文件利用方式load_file()select load_file('/etc/passwd')load data infile() 利用该函数读文件时需要将文件内容保存至一个表中,在方便查看结果的情况下,一般最好自己创建一个新表来保存查询的结果。-- 创建存储结果的表create table result(cmd text);-- 读取文件内容到表中load data infi...
Android MySQL客户端服务器数据库完整教程
资源摘要信息: 该资源标题和描述表明,此压缩文件包含完整的Android客户端以及服务器端应用的源代码和说明文档,其中涉及的主要技术点是Android数据库MySQL服务器数据库之间的交互。从文件名"android_blog.zip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值