win2k平台下mysql的默认设置的脆弱性

写在前面:无事可做，生命被消耗，痛~~~啊，所以就写了，本文no原创，整理而成！
默认安装的mysql服务不安全因素涉及的内容有：
一.mysql默认的授权表
二.缺乏日志能力
三.my.ini文件泄露口令
四.服务默认被绑定全部的网络接口上
五.默认安装路径下的mysql目录权限
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一.mysql默认的授权表
由于mysql对身份验证是基于mysql这个数据库的，也叫授权表。所有的权限设置都在这里了。
我们只讨论最为重要的一个表 user表。它控制的是接受或拒绝连接。
先看一下
select host,user,password,delete_priv  from user;
+-----------+------+------------------+-------------+
host       user  password          delete_priv
+-----------+------+------------------+-------------+
localhost  root  67457e226a1a15bd  y

%          root                    y

localhost                          y

%                                  n
+-----------+------+------------------+-------------+
现在新的版本，安装完毕都会出现一个快速设置窗口，用于设置口令。
以上，就是user表里的内容（略了点）看看有什么问题？
我们知道mysql的验证方式是比较特殊的，它基于两个2个信息来进行的
1.从那里连接
2.用户名
第一条没什么问题，当然口令必须是安全的。
第二条从任何主机，以用户root，不需要口令都可以连接，权限为所有的权限。(注:这里的权限是全局权限)
第三条从本地主机，任何用户名（注：user为空白，不表示不需要用户名），不需要口令，都可以连接，所有的权限
第四条从任何主机，任何用户名，不需要口令，都可以连接，无任何权限。
可以看出，2\3\4都是不安全的，如何攻击这里就不说了，请参看资料文库。
如果你mysql只允许本地连接，删除host的%和user中的nul(表示空)
delete from user where host=‘%‘;
delete from host where user=‘‘;
最后的user表，看起来因该是这个样子
+-----------+------+------------------+-------------+
host       user  password          delete_priv
+-----------+------+------------------+-------------+
localhost  root  67457e226a1a15bd  y
+-----------+------+------------------+-------------+
最后需要刷新授权表，使其立刻生效

ICP备案编号:粤ICP备06052964号

www.sosof.com

选择显示字体大小

win2k平台下mysql的默认设置的脆弱性

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准网站致力的规范

www.sosof.com

选择显示字体大小

win2k平台下mysql的默认设置的脆弱性

shouchang();

关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准 网站致力的规范

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

标准网站致力的规范