vì lý do nào đó layer service bị thủng, kẻ xấu lấy đc cấu hình -> có thông tin để tương tác đc với DB, dùng thông tin đó để query full data.
Vd ngay cả mình trong team, khi dev, dùng acc/pass của mình gọi store getitems() trên server test thì cũng chỉ thấy đc tập data test của mình thôi chứ ko thể thấy đc hết dữ liệu như cách truyền thống. Còn khi dùng acc/pass của mình để gọi store adduser() thì bị denie ngay. Nói chung có thông tin để connect đc tới db cũng ko làm đc gì nhiều.
Theo CTO bên US nói thì để lấy đc full thì cần các điều kiện:
Chạy công cụ trên lớp mạng access đc tới cluster DB.
User/pass db để truy cập đc vào DB.
Hiểu đc logic của hệ thống do acc db trên khi dùng tool quản trị để connect vô db thì sẽ ko thấy đc cấu trúc của db (table, store, function, ...), ko chạy trực tiếp đc sql query.
User/pass người dùng để authen với store authen.
User/pass người dùng này phải có quyền cao để có thể thấy đc mọi items.
User/ pass do admin phân quyền, thiếu yếu tố này coi như mù rồi còn đâu.
Còn nếu hack được cả admin rồi thì những cái trên dư ah?
Có cái số 1 là phần network thì ko liên quan admin DB.
Hiểu vậy ko biết có đúng ko?
