अगर मुझे एक अविश्वसनीय स्रोत से डेटाबेस (पोस्टग्रेस्क्ल के लिए इस मामले में) प्राप्त करना था, तो क्या इसे सक्रिय करने और इसे पूछने में कोई जोखिम है?अविश्वसनीय स्रोत से डेटाबेस डाउनलोड और उपयोग करना?
उत्तर
यदि आप यही पूछ रहे हैं तो वहां बहुत से संभावित हमले वैक्टर हैं।
हो सकता है कि डेटाबेस के लिए लिंक वास्तव में है कि अपने एक्रोबेट प्लगइन में कुछ जोखिम कारनामे होगा एक हैक्ड पीडीएफ फाइल करने के लिए एक कड़ी है कि आप अपनी PDF (: यहाँ कुछ मैं अपने सिर के ऊपर से के बारे में सोच सकते हैं प्लगइन्स पैच किए गए हैं, है ना? यह वास्तव में हाल ही में लोकप्रिय हमले वेक्टर है)।
यदि यह ज़िपित है, तो शायद यह वास्तव में एक ज़िप बम है।
यदि यह बाइनरी डंप है, तो शायद यह पुनर्स्थापना प्रक्रिया में कुछ बग का फायदा उठाने का प्रयास कर रहा है।
हो सकता है कि इसमें दुर्भावनापूर्ण संग्रहित प्रक्रियाएं हों जो आपके डेटाबेस को छोड़ दें या आपके पासवर्ड को तबाह कर दें।
शायद यह सिर्फ एक टेक्स्ट डंप है जिसमें इसमें ड्रॉप स्टेटमेंट्स का एक गुच्छा है।
व्यवहार में, यह बिल्कुल कम फांसी फल नहीं है। पोस्टग्रेर्स सीमित दर्शकों के साथ एक विशिष्ट उत्पाद है (डेवलपर्स जो पोस्टग्रेस पसंद करते हैं)। मुझे यह बहुत संभावना नहीं है कि यह किसी प्रकार का मैलवेयर देने के लिए डेटाबेस डंप का उपयोग किया जाएगा।
चाहे यह "सुरक्षित" इस मामले में "अविश्वसनीय" का अर्थ है, इस पर निर्भर करता है। यदि आप वास्तव में चिंतित हैं, तो संभावित क्षति को सीमित करने के लिए नेटवर्किंग बंद होने के साथ इसे virtual machine में लोड करें।
सेठ अच्छे अंक बनाता है, लेकिन मुझे लगता है कि सबसे बड़ा बड़ा, बुरा, सुरक्षा जोखिम पीएल/पायथनॉन जैसी अविश्वसनीय भाषाओं में लिखी गई प्रक्रिया होगी। अंतर्निहित प्रणाली में कुछ भी करने के लिए उनके पास पूर्ण पहुंच होगी कि भाषा का समर्थन करता है और पोस्टग्रेस चलाने वाले सिस्टम उपयोगकर्ता तक पहुंच है।
जैसा कि सेठ बताता है, यह बहुत ही असंभव है और इसे वीएम में लोड करना एक अच्छा विचार है। अच्छे हमले वैक्टरों के लिए
- 1. आईआरएल से फाइल डाउनलोड करना और आईफोन
- 2. .NET 4 स्रोत कोड डाउनलोड करना
- 3. एंड्रॉइड स्रोत कोड डाउनलोड
- 4. रिमोट स्रोत से आकार डाउनलोड करें और आकार बदलें, फिर
- 5. YouTube से वीडियो डाउनलोड करना
- 6. गूगल कोड को डाउनलोड स्रोत
- 7. डेटाबेस से समानांतरता और अक्षांश प्राप्त करना
- 8. अविश्वसनीय पाठ
- 9. स्ट्रीम से ज़िप फ़ाइल बनाना और इसे डाउनलोड करना
- 10. अविश्वसनीय जावास्क्रिप्ट
- 11. आइवी: जावडॉक्स और स्रोत प्राप्त करना
- 12. मुझे CorFlags.exe कहां से डाउनलोड करना चाहिए?
- 13. साइट से जेडी-ग्रहण डाउनलोड नहीं कर सकता? कोई अन्य डाउनलोड स्रोत?
- 14. ऐप्पल की वेबसाइट से स्रोत कोड डाउनलोड करें
- 15. संपादन का उपयोग करना - टीएफएस स्रोत नियंत्रण
- 16. आईई से डॉक्स डाउनलोड करना - आईआईएस
- 17. स्रोत और अद्यतन स्रोत
- 18. मोनोड्रॉइड एचटीपी वेबवेक्वेस्ट और वेब क्लाइंट अविश्वसनीय?
- 19. 'अविश्वसनीय' उपयोगकर्ताओं से एल्गोरिदम का मूल्यांकन
- 20. अविश्वसनीय deserialization रणनीति
- 21. सुरक्षित रूप से अविश्वसनीय प्रारूप स्ट्रिंग
- 22. प्रोग्रामेटिक रूप से पायथन स्रोत संपादित करना
- 23. ऑब्जेक्ट फ़ाइल से स्रोत प्राप्त करना
- 24. NSURLConnection, NSURLRequest, अविश्वसनीय प्रमाणपत्र और उपयोगकर्ता प्रमाणीकरण
- 25. पाइथन का उपयोग कर HTML पृष्ठ स्रोत से छवि फ़ाइल डाउनलोड करें?
- 26. क्या मुझे टेक्स्ट फ़ाइल या डेटाबेस का उपयोग करना चाहिए?
- 27. SQLite स्रोत कोड कहां से शुरू करना है?
- 28. अविश्वसनीय हास्केल कोड
- 29. अविश्वसनीय info_schema स्कीमा जानकारी?
- 30. नेटबीन्स 7.2 एफ़टीपी अविश्वसनीय रूप से धीमा है
+1। – rfusca
प्वाइंट 1 थोड़ा मूर्ख है (स्पॉट करने में आसान है, और अगर प्रोग्रामेटिक रूप से पहुंचा तो इससे कोई फर्क नहीं पड़ता), लेकिन बाकी के साथ सहमत हो गया; बहुत सारे संभावित सामान। – HoboBen
प्वाइंट 1 मूर्खतापूर्ण लग सकता है, लेकिन अगर आप इसे ढूंढ रहे हैं तो यह केवल स्पॉट करना आसान है! (लेकिन हाँ, यदि आप इसे प्रोग्रामेटिक रूप से एक्सेस कर रहे हैं तो शायद आप प्रभावित नहीं होंगे)। – Seth