PCI - Aplicaciones backend e inyección de SQL

1

Actualmente, estamos buscando la certificación PCI y nuestro equipo interno exige que todo el SQL en línea se transfiera a consultas parametrizadas. Sin duda esto tiene sentido para aplicaciones web.

Me estoy preguntando acerca de las opiniones sobre la aplicabilidad de esto para aplicaciones de back-end. Tenemos una serie de aplicaciones muy antiguas (VB6) utilizadas para integrarse con otras organizaciones (piense en trabajos ETL con intercambios de archivos por lotes sobre SFTP). Actualizar todo esto es una tarea tremenda y me pregunto qué tan necesario sería en realidad.

Gracias.

    
pregunta user12529 01.10.2017 - 03:56
fuente

1 respuesta

3

Debe considerar las amenazas internas, si estas aplicaciones tienen vulnerabilidades de inyección de SQL y acceso a datos confidenciales, podría estar abierto a la visualización y modificación no autorizadas de sus datos por parte de actores internos maliciosos. La regla es que nunca se confíe, incluso si proviene de alguien que trabaja para usted.

En segundo lugar, piensa la defensa en profundidad. ¿Qué sucede si un atacante incumple su perímetro y encuentra una de estas herramientas? Esto podría ser un vector de ataque adicional.

Me gustaría probar estas aplicaciones en busca de vulnerabilidades sqli y solucionar los problemas que descubra en lugar de una reescritura general, que sería más eficiente.

    
respondido por el iainpb 01.10.2017 - 12:08
fuente

Lea otras preguntas en las etiquetas