5. Анализ разведки

В чем заключается главная польза `information_schema` для хакера?

В ускорении работы SQL-запросов В том, что она автоматически удаляет старые данные В том, что она содержит полную структуру базы данных (имена всех таблиц и колонок); хакеру не нужно "угадывать" их В защите от инъекций

Какой системный запрос в PostgreSQL позволяет хакеру извлечь список всех таблиц в схеме `public`?

SELECT * FROM master_tables SELECT table_name FROM information_schema.tables WHERE table_schema='public' SELECT name FROM pg_tables DROP TABLE tables

Что такое "фингерпринтинг" СУБД в контексте SQL-инъекций?

Процесс входа в базу по отпечатку пальца Определение типа и версии СУБД (PostgreSQL, MySQL, SQLite) по её поведению, ошибкам или уникальным функциям Сборка всех SQL-запросов в один лог-файл Поиск всех пользователей с правами администратора

Какая функция СУБД часто используется хакерами для быстрого извлечения версии базы данных в PostgreSQL и MySQL одновременно?

show_version() version() @@db_version sqlite_version()

В чем заключается Принцип наименьших привилегий (Least Privilege) для приложения на Go?

В использовании самых дешевых серверов для базы данных В разрешении разработчикам писать код только по понедельникам В предоставлении пользователю БД, под которым работает Go-приложение, только минимально необходимых прав (например, только SELECT для одной таблицы) В запрете использования паролей сложнее 4 символов

Какой SQL-запрос является безопасным способом настройки прав для приложения в PostgreSQL?

GRANT ALL PRIVILEGES ON DATABASE ... TO app_user GRANT SELECT ON products TO app_user; REVOKE ALL ON SCHEMA information_schema FROM app_user; ALTER USER app_user WITH SUPERUSER DROP SCHEMA public

Верно ли утверждение: "Если мой сайт не выводит список таблиц на странице, хакер всё равно может их узнать через инъекцию"?

Да, но только через SSH-доступ Да, в Go это невозможно защитить ДА, хакер может подставить UNION SELECT и вывести имена таблиц прямо в тот HTML-блок, где должны быть товары или статьи Нет, имена таблиц — это секретная информация СУБД

В чем заключается главная польза information_schema для хакера?

Какой системный запрос в PostgreSQL позволяет хакеру извлечь список всех таблиц в схеме public?