Esistono speciali vettori di attacco per i database statistici?

3

I database statistici sono vulnerabili agli attacchi di SQL injection? Se sì, quale tipo specifico? Puoi pensare ad un esempio?

    
posta cgigeek 28.10.2012 - 01:28
fonte

2 risposte

5

Potrei scrivere termini qui, ma tecnicamente no, un database statistico non dovrebbe essere vulnerabile all'iniezione SQL, perché i database statistici tendono a non utilizzare SQL come linguaggio di query. Tendono ad usare varianti del linguaggio come MDX o DMX. Inoltre, alcuni supportano SQL anche se così ...

Tuttavia, dato che accettano input sotto forma di linguaggio, possono certamente essere vulnerabili all'iniezione perché non sono realmente all'altezza del database o del suo server per prevenire l'iniezione. Fino all'applicazione che chiama nel database per proteggere adeguatamente dall'iniezione.

Anche qui ci sono diversi gradi di danno. Nella maggior parte dei casi non è possibile inserire dati o cancellare dati poiché questi database / cubi / modelli tendono ad essere di sola lettura, tuttavia potrebbe essere possibile modificare il set di risultati previsto e ottenere più informazioni del previsto. Mi aspetto che ciò sia possibile in applicazioni di reporting poco sviluppate.

    
risposta data 28.10.2012 - 02:28
fonte
1

Se per "statistica" intendi "zero input", la risposta è: no.

Ma se questo è un DB SQL che accetta input (vale a dire anche per scopi di filtraggio) di tutte le regole standard si applicano ancora e sono vulnerabili come qualsiasi altro DB SQL.

    
risposta data 28.10.2012 - 11:05
fonte

Leggi altre domande sui tag