Gli attacchi per passare dal server SQL al server Web, senza accesso diretto alla rete?

-1

Considerando che ho una struttura come la seguente, che consente di accedere solo alle porte TCP e UDP per SQL. In particolare, nessun traffico avviato da SQL può raggiungere SECURE.

SECURE-> SQL <- STANDARD
     |-> SECURE-SQL 

Che tipo di attacchi ci sono là fuori per compromettere SECURE - e quindi alla fine SECURE-SQL -, assumendo che il server SQL sia compromesso? Ho letto di molti attacchi, ma non c'è nulla che riguardi realmente il passaggio da SQL a un server Web quando non si dispone dell'accesso diretto alla rete.

    
posta Tim Brigham 16.05.2014 - 20:54
fonte

1 risposta

1

Un attacco XSS memorizzato potrebbe farlo. Se il sito web non codifica correttamente i dati da SQL quando viene inviato al client, allora il codice script lato client potrebbe attaccare un altro utente (possibilmente un utente amministratore) e accedere ai dettagli o scrivere ai dati memorizzati in SECURE-SQL se c'è un meccanismo appropriato all'interno delle funzionalità del sito web per abilitarlo.

A " second order " SQL Injection potrebbe farlo. È qui che i dati recuperati dal database vengono utilizzati in un'altra query senza codificare correttamente i dati o senza utilizzare query parametrizzate. Sequenze di caratteri come quelle che contengono virgolette singole possono far cambiare la query eseguita e attaccare il database che viene interrogato con questi dati. Se il sito web utilizza dati da SQL nelle query su SECURE-SQL , ciò potrebbe essere possibile.

    
risposta data 18.05.2014 - 12:35
fonte

Leggi altre domande sui tag