¿Descarga y uso de una base de datos de una fuente que no es de confianza?

Question

Si tuviera que obtener una base de datos (en este caso para postgresql) de una fuente que no es de confianza, ¿hay algún riesgo al activarla y consultarla?

Answer 1

Hay muchos posibles vectores de ataque allí, si eso es lo que estás preguntando. Aquí están algunos que puedo pensar en la parte superior de mi cabeza:

1. Tal vez el enlace a la base de datos es en realidad un enlace a un archivo PDF hackeado que explota alguna vulnerabilidad en su plug-in de Acrobat (el PDF los complementos están parcheados, ¿verdad? Esto es realmente vector de ataque popular últimamente).

2. Si tiene una cremallera, tal vez es realmente una bomba zip.

3. Si se trata de un volcado binario, quizás esté intentando explotar algún error en el proceso de restauración.

4. Tal vez contenga procedimientos almacenados maliciosos que eliminarán sus bases de datos o codificarán sus contraseñas.

5. Tal vez es solo un volcado de texto que tiene muchas declaraciones sueltas.

Hablando en términos prácticos, no es exactamente una fruta baja. Postgres es un producto de nicho con una audiencia limitada (desarrolladores que les gusta postgres). Me resulta bastante improbable que se utilice un volcado de base de datos para entregar algún tipo de malware.

Si es "seguro" depende de lo que "no se confía" significa en este caso. Si realmente está preocupado, cárguelo en un virtual machine con la red desactivada para limitar el posible daño.

Answer 2

Seth hace buenos puntos, pero creo que el riesgo de seguridad más grande, más malo, sería un procedimiento escrito en los idiomas no confiables como PL/PythonU. Tendrán acceso completo para hacer cualquier cosa en el sistema subyacente compatible con el idioma y al que tenga acceso el usuario del sistema que ejecuta Postgres.

Como señala Seth, esto es muy poco probable y cargarlo en una VM es una buena idea.