doc/security.rst

   1 Security policy
   2 ===============
   3
   4 The phpMyAdmin developer team is putting lot of effort to make phpMyAdmin as
   5 secure as possible. But still web application like phpMyAdmin can be vulnerable
   6 to a number of attacks and new ways to exploit are still being explored.
   7
   8 For every reported vulnerability we issue a phpMyAdmin Security Announcement
   9 (PMASA) and it get's assigned a CVE ID as well. We might group similar
  10 vulnerabilities to one PMASA (eg. multiple XSS vulnerabilities can be announced
  11 under one PMASA).
  12
  13 If you think you've found a vulnerability, please see :ref:`reporting-security`.
  14
  15 Typical vulnerabilities
  16 -----------------------
  17
  18 In this section, we will describe typical vulnerabilities, which can appear in
  19 our code base. This list is by no means complete, it is intended to show
  20 typical attack surface.
  21
  22 Cross-site scripting (XSS)
  23 ++++++++++++++++++++++++++
  24
  25 When phpMyAdmin shows a piece of user data, e.g. something inside a user's
  26 database, all html special chars have to be escaped. When this escaping is
  27 missing somewhere a malicious user might fill a database with specially crafted
  28 content to trick an other user of that database into executing something. This
  29 could for example be a piece of JavaScript code that would do any number of
  30 nasty things.
  31
  32 phpMyAdmin tries to escape all userdata before it is rendered into html for the
  33 browser.
  34
  35 .. seealso::
  36
  37     `Cross-site scripting on Wikipedia <https://en.wikipedia.org/wiki/Cross-site_scripting>`_
  38
  39 Cross-site request forgery (CSRF)
  40 +++++++++++++++++++++++++++++++++
  41
  42 An attacker would trick a phpMyAdmin user into clicking on a link to provoke
  43 some action in phpMyAdmin. This link could either be sent via email or some
  44 random website. If successful this the attacker would be able to perform some
  45 action with the users privileges.
  46
  47 To mitigate this phpMyAdmin requires a token to be sent on sensitive requests.
  48 The idea is that an attacker does not poses the currently valid token to
  49 include in the presented link.
  50
  51 The token is regenerated for every login, so it's generally valid only for
  52 limited time, what makes it harder for attacker to obtain valid one.
  53
  54 .. seealso::
  55
  56     `Cross-site request forgery on Wikipedia <https://en.wikipedia.org/wiki/Cross-site_request_forgery>`_
  57
  58 SQL injection
  59 +++++++++++++
  60
  61 As the whole purpose of phpMyAdmin is to preform sql queries, this is not our
  62 first concern. SQL injection is sensitive to us though when it concerns the
  63 mysql control connection. This controlconnection can have additional privileges
  64 which the logged in user does not poses. E.g. access the :ref:`linked-tables`.
  65
  66 User data that is included in (administrative) queries should always be run
  67 through DatabaseInterface::quoteString().
  68
  69 .. seealso::
  70
  71     `SQL injection on Wikipedia <https://en.wikipedia.org/wiki/SQL_injection>`_
  72
  73 Brute force attack
  74 ++++++++++++++++++
  75
  76 phpMyAdmin on its own does not rate limit authentication attempts in any way.
  77 This is caused by need to work in stateless environment, where there is no way
  78 to protect against such kind of things.
  79
  80 To mitigate this, you can use Captcha or utilize external tools such as
  81 fail2ban, this is more details described in :ref:`securing`.
  82
  83 .. seealso::
  84
  85     `Brute force attack on Wikipedia <https://en.wikipedia.org/wiki/Brute-force_attack>`_
  86
  87 .. _reporting-security:
  88
  89 Reporting security issues
  90 -------------------------
  91
  92 Should you find a security issue in the phpMyAdmin programming code, please
  93 contact the `phpMyAdmin security team <mailto:security@phpmyadmin.net>`_ in
  94 advance before publishing it. This way we can prepare a fix and release the fix together with your
  95 announcement. You will be also given credit in our security announcement.
  96 You can optionally encrypt your report with PGP key ID
  97 ``DA68AB39218AB947`` with following fingerprint:
  98
  99 .. code-block:: console
 100
 101     pub   4096R/DA68AB39218AB947 2016-08-02
 102           Key fingerprint = 5BAD 38CF B980 50B9 4BD7  FB5B DA68 AB39 218A B947
 103     uid                          phpMyAdmin Security Team <security@phpmyadmin.net>
 104     sub   4096R/5E4176FB497A31F7 2016-08-02
 105
 106 The key can be either obtained from the keyserver or is available in
 107 `phpMyAdmin keyring <https://files.phpmyadmin.net/phpmyadmin.keyring>`_
 108 available on our download server or using `Keybase <https://keybase.io/phpmyadmin_sec>`_.
 109
 110 Should you have suggestion on improving phpMyAdmin to make it more secure, please
 111 report that to our `issue tracker <https://github.com/phpmyadmin/phpmyadmin/issues>`_.
 112 Existing improvement suggestions can be found by
 113 `hardening label <https://github.com/phpmyadmin/phpmyadmin/labels/hardening>`_.