¿Los ataques para saltar del servidor SQL al servidor web, sin acceso directo a la red?

Navega tus respuestas
-1

Teniendo en cuenta que tengo una estructura como la siguiente, que solo permite acceder a los puertos TCP y UDP para SQL. Específicamente, no se permite que el tráfico iniciado desde SQL llegue a SEGURO. 

SECURE-> SQL <- STANDARD
     |-> SECURE-SQL

¿Qué tipo de ataques existen para comprometer la SEGURIDAD, y por lo tanto la SECURE-SQL, asumiendo que el servidor SQL está comprometido? He leído sobre muchos ataques, pero no hay nada que realmente cubra el salto de SQL a un servidor web cuando no se tiene acceso directo a la red.

    
pregunta Tim Brigham 16.05.2014 - 20:54
fuente

1 respuesta

1

Un ataque XSS almacenado podría hacer esto. Si el sitio web no está codificando correctamente los datos de SQL cuando se envía al cliente, el código del script del lado del cliente podría atacar a otro usuario (posiblemente un usuario administrador) y acceder a los detalles o escribir en los datos almacenados en SECURE-SQL si hay un mecanismo apropiado dentro de la funcionalidad del sitio web para habilitar esto.

Un " segundo orden " Inyección de SQL también podría hacer esto. Aquí es donde los datos recuperados de la base de datos se utilizan en otra consulta sin codificar adecuadamente los datos o sin utilizar consultas parametrizadas. Las secuencias de caracteres, como las que contienen comillas simples, pueden hacer que la consulta ejecutada cambie y ataque a la base de datos que se consulta con estos datos. Si el sitio web utiliza datos de SQL en consultas en SECURE-SQL , esto puede ser posible.

    
respondido por el SilverlightFox 18.05.2014 - 12:35
fuente

Lea otras preguntas en las etiquetas

¿Puedo ser hackeado a través de WiFi? [duplicar] ¿Cifrado transparente de datos compatible con PCI a nivel de disco / carpeta en Windows?