5
Nếu tôi lấy cơ sở dữ liệu (trong trường hợp này cho postgresql) từ một nguồn không tin cậy, có nguy cơ kích hoạt nó và truy vấn nó không?Tải xuống và sử dụng cơ sở dữ liệu từ một nguồn không đáng tin cậy?
A
Trả lời
3
Có rất nhiều vectơ tấn công có thể có, nếu đó là những gì bạn đang yêu cầu. Dưới đây là một vài điều mà tôi có thể nghĩ ra khỏi đỉnh đầu của tôi:
Có thể liên kết đến cơ sở dữ liệu thực sự là một liên kết đến một tập tin PDF hack mà sẽ khai thác một số lỗ hổng trong plugin Acrobat (PDF các plugin được vá, đúng không? đây là thực sự là vectơ tấn công phổ biến gần đây).
Nếu nó được nén, có thể đó thực sự là bom zip.
Nếu đó là kết xuất nhị phân, có thể nó đang cố gắng khai thác một số lỗi trong quá trình khôi phục.
Có thể nó chứa các thủ tục được lưu trữ độc hại sẽ làm giảm cơ sở dữ liệu của bạn hoặc tranh giành mật khẩu của bạn.
Có lẽ nó chỉ là một kết xuất văn bản có một loạt các câu lệnh thả trong đó.
Thực tế, nó không phải là quả treo thấp. Postgres là một sản phẩm thích hợp với lượng người xem hạn chế (nhà phát triển thích postgres). Tôi thấy nó không chắc rằng nó một bãi chứa cơ sở dữ liệu sẽ được sử dụng để cung cấp một số loại phần mềm độc hại.
Cho dù đó là "an toàn" phụ thuộc vào những gì "không đáng tin cậy" có nghĩa là trong trường hợp này hay không. Nếu bạn thực sự lo ngại, hãy tải nó lên trong một virtual machine với mạng bị tắt để hạn chế thiệt hại có thể xảy ra.
1
Seth tạo điểm tốt, nhưng tôi nghĩ rủi ro bảo mật lớn, xấu, lớn nhất sẽ là thủ tục được viết bằng các ngôn ngữ không đáng tin cậy như PL/PythonU. Họ sẽ có quyền truy cập đầy đủ để làm bất cứ điều gì trong hệ thống cơ sở mà ngôn ngữ hỗ trợ và người dùng hệ thống đang chạy Postgres có quyền truy cập vào.
Như Seth chỉ ra, điều này rất khó xảy ra và tải nó lên trong máy ảo là một ý tưởng hay.
Các vấn đề liên quan
- 1. Cơ sở dữ liệu h2 đáng tin cậy như thế nào?
- 2. Công cụ phát triển cơ sở dữ liệu/IDE PostgreSQL đáng tin cậy
- 3. Sử dụng dữ liệu cốt lõi đồng thời và đáng tin cậy
- 4. Địa chỉ cấp thành phố đáng tin cậy Geo-IP, cơ sở dữ liệu cục bộ miễn phí
- 5. từ cơ sở dữ liệu sử dụng?
- 6. JVM Sandbox để bảo mật máy chủ từ các nguồn không đáng tin cậy
- 7. Ổ cắm có đáng tin cậy không?
- 8. Liệu mysqldump có xử lý dữ liệu nhị phân một cách đáng tin cậy không?
- 9. MonoDroid HttpWebRequest và WebClient không đáng tin cậy?
- 10. Có thư viện siêu dữ liệu ảnh .NET đáng tin cậy nào không?
- 11. In_irq() có đáng tin cậy không?
- 12. Tải dữ liệu từ tệp excel lên cơ sở dữ liệu bằng cách sử dụng java
- 13. Trình nền tảng cơ sở tiêu chuẩn Linux (LSB) có đáng tin cậy không?
- 14. Bitbucket có đáng tin cậy không?
- 15. Win32 SetForegroundWindow không đáng tin cậy
- 16. Ràng buộc không đáng tin cậy
- 17. TCP vs UDP đáng tin cậy
- 18. Ổ cắm unix miền đáng tin cậy đáng tin cậy như thế nào?
- 19. javaFX MediaPlayer getCurrentTime() không đáng tin cậy
- 20. Cửa sổ.opener có đáng tin cậy không?
- 21. Tải xuống tệp từ cơ sở dữ liệu trong Asp.Net Mvc
- 22. "AndroidAnnotaions" có đáng tin cậy không?
- 23. Có phải document.cookie đáng tin cậy không?
- 24. Làm cách nào để tải xuống cơ sở dữ liệu SQLite từ thiết bị Android?
- 25. Ma trận và cơ sở dữ liệu
- 26. Đặc quyền cơ sở dữ liệu tối thiểu để sử dụng tải dữ liệu infile
- 27. Sao chép bảng từ một cơ sở dữ liệu sang một cơ sở dữ liệu khác
- 28. Danh sách thả xuống thả xuống Nguồn dữ liệu
- 29. Sao lưu cơ sở dữ liệu mysql và tải xuống dưới dạng tệp
- 30. Công cụ tạo tải bằng cách sử dụng dữ liệu mẫu cơ sở dữ liệu
+1 cho vectơ tấn công tốt. – rfusca
Điểm 1 là một chút ngớ ngẩn (dễ phát hiện, và nếu được truy cập theo chương trình thì sẽ không thành vấn đề), nhưng đã đồng ý với phần còn lại; rất nhiều thứ có khả năng gây khó chịu. – HoboBen
Điểm 1 có thể âm thanh ngớ ngẩn, nhưng nó chỉ dễ dàng phát hiện ra nếu bạn đang tìm kiếm nó! (Nhưng có, nếu bạn đang truy cập nó theo chương trình bạn có thể sẽ không bị ảnh hưởng). – Seth