На определенном сайте есть система отчетов. Система основана на выполнении SQL-запросов, которые хранятся в базе данных. Эти запросы выполняются через пользователя db_datareader. Обычно эти запросы написаны администратором сайта. Предполагая, что злоумышленнику удалось получить доступ к учетной записи администратора сайта и добавить любые запросы, которые ему нравятся в системе отчетов, существуют ли какие-либо опасные, которые он может выполнять в качестве пользователя db_datareader? (К опасным я имею в виду вещи, которые могут помочь злоумышленнику получить контроль над сервером или получить доступ SA к базе данных.)Опасности разрешить db_datareader выполнять любой запрос?
Если есть такие запросы, то я могу предпринять шаги, чтобы предотвратить использование пользователя отчета db (один с db_datareader роль) от их выполнения?
Это обнадеживает. Если кому-то удалось получить доступ к учетной записи администратора сайта, у него уже будет доступ ко всей информации из БД, поэтому более сложный способ сделать то же самое не повредит сайту больше. – jahu