为什么黑客会费心偷你的数据库密码呢？

Question

我最近读到，你是否应该将数据库密码存储在配置文件、环境变量、码头机密等中。但是，如果有人可以从这些地方窃取密码，S/他就可以将代码注入你的系统，这样他们就可以很容易地使用现有的数据库连接，而不是寻找数据库密码。那么，为什么黑客会费心窃取你的数据库密码呢？

Answer 1

但是如果有人能从这些地方偷来它，S/他就可以把代码注入你的系统中了。

这个前提是错误的。特别是对于配置文件，在没有攻击者能够修改代码的情况下，可以通过多种方式窃取密码。下面是一些例子：

• 从源代码的旧备份。
• 意外将配置文件签入公共回购(如马修斯注释所示)
• 攻击者可以读取但不能写入文件的任何情况。

对于环境变量和停靠者机密，攻击者获得读取访问的风险要低得多。需要进行更严重的妥协，这将增加攻击者也可以修改源代码的可能性。顺便说一句，这就是为什么这些存储密码的方法比简单的配置文件更受欢迎！

无论如何，从实际的角度来看，攻击者使用密码直接连接到数据库，然后修改现有的应用程序来为您工作，这就不那么麻烦了。但是你是对的，一旦攻击者走到了那一步，你就已经拥有了任何方式。