程序员征服安全:分享与学习系列-NoSQL 注入
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
%20(1).avif)
.avif)
