Tenemos una aplicación web vinculada a una base de datos. La base de datos está protegida pero contiene números confidenciales no enmascarados. ¿Puede un administrador normal que puede acceder a la aplicación acceder a esos números en la base de datos? Tenga en cuenta que no hay herramientas en la aplicación que genere los números.
Después de leer tu pregunta varias veces, creo que entiendo lo que quieres decir. ¡Estás hablando de un Administrador en el sentido de Joomla! o administrador de WordPress. Donde un administrador es un concepto creado por la propia aplicación, y ese administrador no tiene acceso al servidor real.
En las aplicaciones (Joomla !, WordPress, ModX, Concrete5, DotNetNuke, etc.), el administrador puede instalar componentes y complementos que son básicamente código del lado del servidor que puede leer los archivos del servidor y, finalmente, tienen tanto acceso a la base de datos como su aplicación. Entonces, si su aplicación puede almacenar y leer los datos confidenciales, es muy probable que el administrador de la aplicación pueda leer dichos datos.
Si el administrador tiene acceso a la aplicación o archivos que contienen cadenas de conexión utilizadas por la aplicación, técnicamente podría utilizar estas credenciales (o escribir un código personalizado siempre que pueda modificar el código de la aplicación) y acceder a toda la información. almacenado dentro de la aplicación o base de datos.
Lea otras preguntas en las etiquetas web-application data-leakage databases confidentiality