¿Existen vectores de ataque especiales para las bases de datos estadísticas?

3

¿Las bases de datos estadísticas son vulnerables a los ataques de inyección de SQL? Si es así, ¿qué tipo específico? ¿Puedes pensar en un ejemplo?

    
pregunta cgigeek 28.10.2012 - 01:28
fuente

2 respuestas

5

Es posible que los términos sean confusos, pero técnicamente no, una base de datos estadística no debería ser vulnerable a la inyección de SQL, ya que las bases de datos estadísticas tienden a no usar SQL como su lenguaje de consulta. Tienden a usar variantes del lenguaje como MDX o DMX. Por otra parte, algunos sí admiten SQL aunque ...

Sin embargo, dado que sí aceptan información en forma de lenguaje, ciertamente pueden ser vulnerables a la inyección, ya que no depende realmente de la base de datos ni de su servidor para evitar la inyección. Depende de la aplicación que llame a la base de datos para protegerse adecuadamente contra la inyección.

Aquí también hay diversos grados de daño. En la mayoría de los casos, no puede insertar datos o eliminarlos, ya que estas bases de datos / cubos / modelos tienden a ser de solo lectura, sin embargo, podría ser posible cambiar el conjunto de resultados deseado y obtener más información de la esperada. Espero que esto sea posible en aplicaciones de informes mal desarrolladas.

    
respondido por el Steve 28.10.2012 - 02:28
fuente
1

Si por "estadístico" quiere decir "cero entradas", la respuesta es: no.

Pero si se trata de una base de datos SQL que acepta entradas (es decir, incluso para fines de filtrado), todas las reglas estándar siguen siendo aplicables, y es tan vulnerable como cualquier otra base de datos SQL.

    
respondido por el Igal Zeifman 28.10.2012 - 11:05
fuente

Lea otras preguntas en las etiquetas