Een partner van mij zit met het volgende dilemma:

Hij heeft een soort van CMS dat hij aanbiedt aan zijn klanten. Deze klanten hebben geen toegang tot de scripting / database: is is en blijft eigendom van zijn bedrijf. Eén van zijn klanten heeft het echter toch voor elkaar gekregen om zijn database te kopieren. Hij wilde niet zeggen hoe hij het had gedaan, maar zei wel dat er een programma voor is waarmee het mogelijk is om een hele database leeg te zuigen, al is hij hiertegen beveiligd.

Komt dit verhaal bij iemand bekend voor? Alles is goed beveiligd dus we begrijpen niet hoe hij het voor elkaar heeft gekregen...

Via phpMyAdmin kan het.
Of een scriptfout.
Of hij heeft emt een programma als TelePort de website geript.

Het is geen MySQL-database geweest, maar een database die bijna niemand gebruikt (ik weet de naam zo snel even niet).

TelePort, wat is het en wat doet het?

Origineel geplaatst door Cyberboy
Het is geen MySQL-database geweest, maar een database die bijna niemand gebruikt (ik weet de naam zo snel even niet).

TelePort, wat is het en wat doet het?

Het copieert zeg maar gewoon een website naar de harde schijf.
http://www.tenmax.com/teleport

En is het geen flat-file database die dan gewoon in een browser geopent kon worden?

Nee, het is echt software, vergelijkbaar met MySQL, maar dan geavanceerder.

Moet haast een script lek zijn. In alle gevallen zul je een username eb password nodig hebben om in te loggen op de database. (Tenzij dit is uitgeschakeld natuurlijk)

Programma's als mysql-front kunnen een database backup maken, maar ook deze hebben de login gegevens nodig.

Een klant heeft ook geen ftp support?

Waarschijnlijk PostgresSQL ?
Staat de database port naar buiten open ?
Of kun je alleen inloggen lokaal via de sock file ?

Heb je überhaupt wel gechecked of hij de waarheid spreekt?

Oracle ? Informix ? Sybase ? Maar ook alle van deze hebben nog steeds een login/pass nodig. Geen van alle hebben backdoors (bugs/exploits eventueel wel).

Ook een mogenlijkheid is dat het root/sa account nooit is gewijzigd. Bij een default install van SAE (Sybase Enterprise) bv wordt het default SA account voorzien van een standaard password (sybase<version>).
Je zal versteld staan hoevaak dit ook blijft staan in een productie omgeving.

Ik denk dat de kans groter is dat de klant jou voor het lapje houdt ;)

Origineel geplaatst door V. Kleijnendors
Moet haast een script lek zijn. In alle gevallen zul je een username eb password nodig hebben om in te loggen op de database. (Tenzij dit is uitgeschakeld natuurlijk)

Programma's als mysql-front kunnen een database backup maken, maar ook deze hebben de login gegevens nodig.

Een klant heeft ook geen ftp support?

Nee, hij heft helemaal geen toegang, hij kan alleen door middel van een interface wijzigingen aanbrengen.


Origineel geplaatst door Norman
Waarschijnlijk PostgresSQL ?
Staat de database port naar buiten open ?
Of kun je alleen inloggen lokaal via de sock file ?

Nee, dat is het niet. Het is onbekende software van een fabrikant uit Scandinavië die al jaren geen updates meer heeft gemaakt.


Origineel geplaatst door wdv
Heb je überhaupt wel gechecked of hij de waarheid spreekt?

Ja, hij wist dingen die hij anders niet kon weten.

Bedankt verder voor de reacties. Maar niemand is dus bekend met een programma die een dergelijke actie kan uitvoeren? Ik weet natuurlijk niet zeker dat het ook daadwerkelijk om een speciaal programma gaat, maar dit is wel wat hij vertelde...

Als je nou kunt vertellen welke db-software je gebruikt..

Origineel geplaatst door Cyberboy
Nee, dat is het niet. Het is onbekende software van een fabrikant uit Scandinavië die al jaren geen updates meer heeft gemaakt.
Dat is natuurlijk heel dom. Dikke pech voor die vriend van jou. Als je services gebruikt in een productieomgeving moet je zorgen dat security vulnerabilities gedicht worden. MySQL is daar een prima keus voor, desnoods SQLite. Je gebruikt toch ook geen vage webserver ipv Apache.

Met een dergelijke mentaliteit kan ik me ook voorstellen dat hij helemaal geen query protection gebruikt, waarbij user input wordt gecontroleerd op verboden tekens en op een juiste manier wordt ge-escaped. Dat houdt in dat je queries niet beveiligd zijn en iemand gewoon via een text input volledige controle over je database kan krijgen.

Valt weinig meer te zeggen, laat hem zijn zaakjes maar eens op orde krijgen. Goede les voor hem hoop ik.

Origineel geplaatst door Enlightenment

Je gebruikt toch ook geen vage webserver ipv Apache.

Lekker zinnige opmerking.
Wie of wat bepaald volgens jou welke software "vaag" is ?
Is software vaag wanneer het niet zo wijd geadopteerd is ?
Lijkt me niet want dat zou maatwerk produkten ook "vaag maken".
En laten we eens Boa webserver als voorbeeld nemen... is dat vaag?
Volgens mij niet want de prestaties zijn voor met name fileservers _zeer_ bijhoorlijk. ;-)

Wellicht dat je beter gewoon kunt stellen dat EOL producten niet aan te raden zijn in productie omgevingen, maar dat maakt meer de verantwoordelijke voor die implementatie vaag.
Het produkt kan zondermeer een gerenomeerd produkt geweest zijn.