独立安全顾问戴维·利奇菲尔德率先通过黑客打样Oracle的电子商务套件观众在2016年AUSCERT最后一届会议期间。鉴于Oracle电子商务套件的成本和尺寸，它是通过使用大企业的工具。而且，作为大型的产品，它有一个“大攻击面说：”利奇菲尔德。
该软件的部分问题是它的大小 - 有超过15000的JSP（JavaServer页面） - 但利奇菲尔德说，这些超过99％可以被删除，大大减少了攻击surface.His谈话集中在12.2版本及更早版本，包括11.5。

利奇菲尔德说，甲骨文声称有没有在SQL注入漏洞的攻击野利奇菲尔德却表示，他已澄清实际情况，甲骨文与几十个潜在的缺陷已经多了很多还开着解决，他说。利奇菲尔德的分析，努力一周后，揭示了11.5版本50的缺陷 - 这是他在那里停止调查。在12.2版本的努力了一个星期透露更多的问题 - 所有这些都报告给甲骨文。
在11.5版的JSP文件中存储的所有的trusted.conf下的文件。讽刺的是，这个文件没有适当的安全与轻松访问和在PL / SQL网关的恶意parties.His检查利用文件透露了一些显著缺陷。在40 PL / SQL包样本，他发现12 SQL注入攻击，15有XSS问题和两个可以通过拒绝服务攻击所利用。
利奇菲尔德的演讲中描述了许多，可以很容易地执行潜在的攻击方法。通过加密部分代码，并将其注入到一个表中，就能够获得更广泛的数据库访问。而缺陷是不平凡易于使用，它们确实存在。而且，他说，他们很容易找到。
令人不安的是，有11.5版本不再受Oracle支持，利奇菲尔德说，大量已知漏洞将不再是固定的。和缺陷被发现这么快有一个与发行米特雷CVE标识符的缺陷速度不够快的问题。
一个80小时的评估由利奇菲尔德在12.x版中发现8 SQL注入的问题，两个Java deserialisation以及更多的跨站漏洞比他数以及其他缺陷。尽管甲骨文已经改变了附带的软件的部分方式 - PL / SQL是例如电子商务套件不再一部分 - 这已经导致了攻击面的变化，但不一定减少。
其中之一就是从利奇菲尔德的介绍清楚的一件事是，经常打补丁是至关重要的。但同样重要的是需要仔细审查电子商务套件的安装.
在最近的接合，里奇菲尔德能够从约15000的默认减少JSP的数目少于200 - 减少了99.99％。这可通过观察由其他组件所请求的访问日志和JSP来完成。
同样的，他能够servlet的数量减少80两。和PL / SQL包的数量减少，从700至六个。这些变化导致了显著减少软件的攻击面。
在他的介绍后，Q和A，利奇菲尔德指出，SQL Server是一个更加安全的平台。他个人的意见是，SQL Server是安全得多，虽然它可能不是作为特征rich.Also，修补时发生，许多组织都在为了修补等待在补丁任何瑕疵被识别阻碍。在许多情况下，公司正在背后究竟是由甲骨文发布一个修补周期。