vì lý do nào đó layer service bị thủng, kẻ xấu lấy đc cấu hình -> có thông tin để tương tác đc với DB, dùng thông tin đó để query full data.
Vd ngay cả mình trong team, khi dev, dùng acc/pass của mình gọi store getitems() trên server test thì cũng chỉ thấy đc tập data test của mình thôi chứ ko thể thấy đc hết dữ liệu như cách truyền thống. Còn khi dùng acc/pass của mình để gọi store adduser() thì bị denie ngay. Nói chung có thông tin để connect đc tới db cũng ko làm đc gì nhiều.
Theo CTO bên US nói thì để lấy đc full thì cần các điều kiện:
- Chạy công cụ trên lớp mạng access đc tới cluster DB.
- User/pass db để truy cập đc vào DB.
- Hiểu đc logic của hệ thống do acc db trên khi dùng tool quản trị để connect vô db thì sẽ ko thấy đc cấu trúc của db (table, store, function, ...), ko chạy trực tiếp đc sql query.
- User/pass người dùng để authen với store authen.
- User/pass người dùng này phải có quyền cao để có thể thấy đc mọi items.