LivingSocial、Zappos、LinkedIn、Evernoteなどの大規模な技術サイトはどのようにハッキングされていますか? (つまり、ユーザーのデータセット全体はどのように取得されますか?)
LivingSocial- 5,000万人のユーザーが露出
Zappos- 2400万アカウントにアクセス
LinkedIn- 600万以上のパスワードが侵害された
Evernote- 5,000万侵害
これらのデータベーステーブルへのアクセス方法がわかりません。確かにSQLインジェクションではありません。準備されたステートメントでは過去のものになるはずなので、ユニットテストがすでにこれを取得しているので、セッション状態の変更がアプリケーションにどのように影響するかはわかりません。 SSHキーでロックダウンされたマシンへのrootアクセスを取得できる。
機密情報(FirstName、Surname、Address、DOB)を使用して大規模なデータベースを管理し、このデータがどの程度安全で、どのように安全にすることができるのか疑問に思っているので、これを質問します。
これらのデータベーステーブルへのアクセス方法がわかりません。確かにそれはSQLインジェクションではありません。それは準備されたステートメントで過去のものであるべきだからです。
ああ、仮定.. OWASPトップ10プロジェクト を見たことはありますか? SQLインジェクションは常にセキュリティ問題の絶え間ない原因でした。
ユニットテストはすでにこれを取得しているため、セッション状態の変更がアプリケーションにどのように影響するかわかりません。
OWASPトップ10をもう一度見てください...不十分に実装されたセッション状態管理も常に問題の絶え間ない原因となっています...
SSHキーでロックされたマシンにハッカーがrootアクセスを簡単に獲得できるとは思えません。
再び、仮定。 rootへの権限昇格を可能にする脆弱性がたくさんあります。これは、古い、パッチが適用されていない、または構成が不適切なシステムを実行している場合に特に当てはまります。 exploit-db を見て、選択してください...
これらのデータベーステーブルへのアクセス方法がわかりません。確かにそれはSQLインジェクションではありません。それは準備されたステートメントで過去のものであるべきだからです。
SQLインジェクションは、あらゆる規模のサイトにとって大きな問題です。必要なのはoneがないmysql_real_escape_string()
だけであり、プログラムが危険にさらされています。コンピュータセキュリティのほとんどのことと同様に、至る所に脆弱性があり、必ずしも存在するとは限らないものにパッチを適用する必要があります。一つの間違いが施設全体を破壊する可能性があります。
もう1つは、これらが大きく複雑なフレームワークであることです。鎧のどこかにいくつかのちらつきがあるのはもっともらしいことです。
機密情報(FirstName、Surname、Address、DOB)を使用して大規模なデータベースを管理し、このデータがどの程度安全で、どのように安全にすることができるのか疑問に思っているので、これを質問します。
セキュリティコンサルタントを雇う。これは、投稿で合理的に回答できるものではなく、状況に固有のものです。
インサイダーの知識/アクセスが可能性があります。薬物乱用、アルコールまたはギャンブルの問題、恨みを持つ従業員...
また、バックアップ、廃棄されたテープ、または故障したディスク、テスト/ DRデータベース、またはデータ分析のために作成された抽出も考慮する必要があります。これらの違反のほとんどは、3〜6か月前のデータと同じように効果的に機能します。
PS。 Impervaブログはまた、パッチが適用されていない可能性を示唆していますRuby脆弱性 http://blog.imperva.com/2013/04/a-look-into-the-livingsocial-hack .html