2006/02/11

駭客初體驗...Dreamhost 的安全性問題

把 Blog 架起來的時候,發現 Dreamhost 伺服器上的一個安全性的問題。
透過這種方式,可以取得利用 Dreamhost 提供的 MySQL 架站的網站的 MySQL 登入帳號及密碼。
只要存取 MySQL 的 script 是放在 Dreamhost 上,並且沒有加密,
就能夠輕易的拿到 MySQL 的主機、帳號、密碼和資料庫名稱。

剛剛試了一下,真的連到其他使用者的 MySQL 資料庫中,
沒想到我的第一次駭客經驗就這樣輕而易舉的達到了,真不知該高興還是難過?!

先寫信去問 Dreamhost 這種狀況要怎麼預防,
不然任何人都可以用這種方式把 MySQL 裡的資料清掉,
我的 Blog 放在這裡真是太危險了!

如果 Dreamhost 沒有對應的方案,我想到的對策:
1. 找 Encoder 將 PHP script 加密。
2. 每天備份 MySQL 裡的資料,如果被人清掉還能夠馬上救回來。
3. 搬家!自己架 Server。

唉~真麻煩...

沒有留言:

張貼留言