Testy penetracyjne a backup bazy danych

0

Mam pytanie dotyczace testów. Zleciłem pen testy jednemu znajomemu. Do przeprowadzenia testów potrzebował backupu bazy, który mu dostarczyłem w pliku. Przeprowadził testy z zalogowanego użytkownika, czyli najpierw załozył konto na moim mini serwisie, a potem zrobił testy. Miał cały backup bazy i po wykonaniu testów wszystkie tabele w bazie zniknęły. Co powinienem zmienić w odzyskanej z backupu bazie?

0

Dowiedz się po jakim teście one znikneły? Ogólnie powinieneś się spytać tego znajomego a nie nas czemu się baza wywaliła ;<

AA i może jakieś szczegóły jaka to baza, wersja itp?

0

Jeżeli chodzi o testy penetracyjne to do tego powinno być przeznaczone osobne laboratorium, by nie były one przeprowadzone na środowisku produkcyjnym bo:

  • Testy Penetracyjne mogą uszkodzić aplikacje
  • Osobne odizolowane środowisko, daje to, że elementy zewnętrzne nie będą wpływać podczas testów.
    Dodatkowo powinien być z tego zrobiony audyt, gdzie obie strony opisują jakiego typu testy mogą być przeprowadzane i co powinny one obejmować - czy tylko sprawdzanie, czy można usuwać pliku, czy przez SQL Injcetion może usuwać bazę danych itd.

Backup nie zawsze zadziała, a dodatkowo powinieneś go trzymać nie na serwerze, gdzie są przeprowadzane testy.

0

Zapytam sie, dostane cały raport. Baza banych to Mysql PDO. Ledwie kilka tabel pisanych zgodnie ze standardami. Nie rozumiem związku pomiedzy posiadaniem backupu bazy, kontem uzytkownika, a mozliwoscią usunięcia całej bazy przez kogos kto te warunki spełnia, ma backup bazy i jest użytkownikiem serwisu.

1

Ja tam widzę. Jak zna schemat bazy to sql injection może być łatwiejszy w realizacji bo nie musisz zgadywać jak sie nazywaja tabele i atrybuty. Przy wyłączonym logowaniu blędów nawet jeśli znajdziesz sqlinjection to może być ciężko je wykorzystać bo nie "widzisz" czy twoje zapytania działaja i co dokładnie robią. Jak masz pod ręką backup to nie ma tego problemu.

0

Dzieki za odpowiedzi.

Przy wyłączonym logowaniu blędów nawet jeśli znajdziesz sqlinjection to może być ciężko je wykorzystać bo nie "widzisz" czy twoje zapytania działaja i co dokładnie robią. Jak masz pod ręką backup to nie ma tego problemu.

Czyli nalezy bezwzglednie ukrywać strukture bazy, ale przeciez kazdy moze wydedukowac, jak zbudowana jest baza. Musi byc jeszcze inny sposob zabezpieczenia. Dowiem sie , czy testy wykazały jakies błedy krytyczne.

0

Bezwzględnie to należy unikać sql injection i przed tym należy się zabezpieczyć! ;) Ukrywanie schematu to słabe zabezpieczenie, ale zawsze to dodatkowa przeszkoda. "Wydedukować" schematu się raczej nie da, ale jak mamy możliwość wypisania czegokolwiek co jest w bazie (a zwykle mamy bo przecież np. nasz login sie gdzieś wyświetla etc) to możemy podmienić taki atrybut na interesujące nas informacje. A większość systemów zarządzania bazą danych pozwala wyciągnąć trochę meta-danych o strukturze tabel.

1 użytkowników online, w tym zalogowanych: 0, gości: 1