PCI - Applicazioni di backend e SQL Injection

Naviga le tue risposte
1

Attualmente stiamo perseguendo la certificazione PCI e il nostro team interno sta richiedendo che tutto l'SQL inline venga spostato su query parametrizzate. Nessuna domanda questo ha senso per le applicazioni web.

Mi chiedo delle opinioni sull'applicabilità di questo per le applicazioni di back-end. Abbiamo un numero di applicazioni molto vecchie (VB6) utilizzate per integrarsi con varie altre organizzazioni (si pensi ai lavori ETL con scambi di file batch su SFTP). Aggiornare tutti questi è un compito tremendo e mi chiedo quanto sarebbe effettivamente necessario.

Grazie.

    
posta user12529 01.10.2017 - 03:56
fonte

1 risposta

3

Devi considerare le minacce interne, se queste applicazioni hanno vulnerabilità di SQL injection e accesso a dati sensibili potresti aprirti a visualizzazioni e modifiche non autorizzate dei dati da parte di attori interni malevoli. La regola è non inserire mai la fiducia, anche se proviene da qualcuno che lavora per te.

In secondo luogo, pensa alla difesa in profondità. Cosa succede se un utente malintenzionato viola il perimetro e trova uno di questi strumenti. Questo potrebbe essere un vettore di attacco aggiuntivo.

Vorrei testare queste applicazioni per le vulnerabilità di sqli e correggere i problemi che si scoprono piuttosto che una riscrittura generale, che sarebbe più efficiente.

    
risposta data 01.10.2017 - 12:08
fonte

Leggi altre domande sui tag

Accelera l'attacco Reaver sul router Progettazione TLS / SSL e modello OSI