密码管理工具 KeePass 被爆安全漏洞：允许攻击者以纯文本形式导出整个数据库

3 1 0

密码管理工具 KeePass 被爆安全漏洞：允许攻击者以纯文本形式导出整个数据库

累 2023-1-31 举报

874 3

本文共计422个字，预计阅读时长1.7分钟。

密码管理工具 KeePass 被爆安全漏洞：允许攻击者以纯文本形式导出整个数据库攻击者在获取目标系统的写入权限之后，通过更改 KeePass XML 配置文件并注入恶意触发器，之后该触发器将以明文方式导出包含所有用户名和密码的数据库

============= KeePass 官方则回应表示，这个问题不应该归咎于 KeePass。KeePass 开发人员解释道：“拥有对 KeePass 配置文件的写入权限通常意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，独立于配置文件保护）”。开发人员继续说道：“只能通过保持环境安全（通过使用防病毒软件、防火墙、不打开未知电子邮件附件等）来防止这些攻击。KeePass 无法在不安全的环境中神奇地安全运行”。 ====== 用户是自己数据安全的第一责任人( 参考 https://www.ithome.com/0/670/300.htm