从不受信任的来源下载和使用数据库?

时间:2010-08-04 02:42:12

标签: database postgresql

如果我要从不受信任的来源获取数据库(在本例中为postgresql),是否存在激活它并查询它的风险?

2 个答案:

答案 0 :(得分:3)

那里有很多可能的攻击媒介,如果这就是你所要求的。以下是我能想到的一些问题:

  1. 也许指向数据库的链接实际上是一个被黑客入侵的PDF文件的链接,该文件将利用您的Acrobat插件中的某些漏洞(您的PDF插件已修补,对吧?这是真的最近流行的攻击向量)。

  2. 如果它是拉链的,也许它真的是一个拉链炸弹。

  3. 如果是二进制转储,也许是在尝试利用恢复过程中的一些错误。

  4. 可能包含会丢弃数据库或加密密码的恶意存储过程。

  5. 也许它只是一个文本转储,里面有一堆drop语句。

    6. 实际上,它并不是完全没有结果。 Postgres是一个收视率有限的小众产品(喜欢postgres的开发者)。我发现数据库转储不太可能用于提供某种恶意软件。

    它是否“安全”取决于在这种情况下“不可信”的含义。如果您真的担心,请在virtual machine中将其加载,并关闭网络以限制可能的损坏。

答案 1 :(得分:1)

Seth提出了很好的观点,但我认为最大的,最糟糕的安全风险是使用不受信任的语言(如PL / PythonU)编写的程序。他们可以完全访问语言支持的底层系统以及运行Postgres的系统用户可以访问的任何内容。

正如Seth指出的那样,这是非常不可能的,并且将其加载到VM中是一个好主意。

相关问题
最新问题