Загрузка и использование базы данных из ненадежного источника?

Question

Если бы я должен был получить базу данных (в данном случае для postgresql) из ненадежного источника, есть ли риск в ее активации и запросе?

Answer 1

Есть множество возможных векторов атаки, если вы об этом.Вот некоторые из них, о которых я могу подумать:

1. Возможно, ссылка на базу данных на самом деле является ссылкой на взломанный PDF-файл, который будет использовать некоторую уязвимость в вашемПлагин Acrobat (ваши PDF-плагины исправлены, верно? Это популярный вектор атаки действительно в последнее время).

2. Если это застежка на молнии, возможно, это действительно бомба на молнии.

3. Если это бинарный дамп, возможно, он пытается использовать какую-то ошибку в процессе восстановления.

4. Возможно, он содержит вредоносные хранимые процедуры, которые будутсбросьте свои базы данных или зашифруйте свои пароли.

5. Может быть, это просто текстовый дамп, в котором есть куча операторов отбрасывания.

С практической точки зрения, это не совсем низко висящий фрукт.Postgres - нишевый продукт с ограниченной аудиторией (разработчики, которым нравится postgres).Я считаю маловероятным, что дамп базы данных будет использоваться для доставки какого-либо вредоносного ПО.

Является ли это "безопасным", зависит от того, что означает "ненадежный" в данном случае.Если вы действительно обеспокоены, загрузите его в виртуальную машину с отключенной сетью, чтобы ограничить возможный ущерб.

Answer 2

Сет делает хорошие замечания, но я думаю, что самой большой, плохой угрозой безопасности будут процедуры, написанные на ненадежных языках, таких как PL / PythonU. Они будут иметь полный доступ к любым действиям в базовой системе, поддерживаемой языком, и к которым системный пользователь, использующий Postgres, имеет доступ.

Как указывает Сет, это очень маловероятно, и загрузка его в виртуальную машину является хорошей идеей.