Abbiamo un'applicazione web collegata a un database. Il database è protetto ma contiene numeri riservati non mascherati. Può un normale amministratore che può accedere all'applicazione, accedere a quei numeri nel database? Si noti che non ci sono strumenti nell'applicazione che genera i numeri.
Dopo aver letto la tua domanda diverse volte, penso di capire cosa intendi. Stai parlando di un amministratore nel senso di Joomla! o amministratore di WordPress. Dove un amministratore è un concetto creato dall'applicazione stessa e quell'amministratore non ha accesso al server attuale.
Nelle applicazioni (Joomla !, WordPress, ModX, Concrete5, DotNetNuke, ecc.), l'amministratore è in grado di installare componenti e plug-in che sono essenzialmente codice lato server in grado di leggere i file del server ed eventualmente avere tanto accesso al database quanto l'applicazione stessa. Pertanto, se l'applicazione è in grado di memorizzare e leggere i dati sensibili, è molto probabile che l'amministratore dell'applicazione legga tali dati.
Se l'amministratore ha accesso all'applicazione o ai file contenenti stringhe di connessione utilizzate dall'applicazione, allora tecnicamente potrebbe essere in grado di utilizzare queste credenziali (o scrivere codice personalizzato purché possa modificare il codice dell'applicazione) e accedere a tutte le informazioni memorizzato all'interno dell'applicazione o del database.
Leggi altre domande sui tag web-application data-leakage databases confidentiality