11
esiste un modello comune in Java per evitare gli attacchi di mongoDB injection?mongoDB injection
Grazie
A
risposta
16
Utilizzare uno dei driver supportati. Non deserializzare le stringhe come JSON e passarle come query, ad es. Dont' fare questo (in Ruby):
collection.send(query_type, JSON.parse(parameters))
dove query_type e parameters sono stringhe proveniente da un formulario. Dovresti essere criminalmente stupido per fare questo però.
Poiché non esiste un linguaggio di query in quanto tale, non esiste la stessa stanza per l'iniezione. Parte del motivo per cui gli attacchi di SQL injection sono possibili è che l'azione da intraprendere (SELECT, UPDATE, DELETE, ecc.) Fa parte della stringa di query. MongoDB e molti altri database più recenti non funzionano così, invece l'azione fa parte dell'API. Laddove i driver SQL hanno solo query e in alcuni casi exec, MongoDB ha find, update, insert e remove.
1
La maggior parte dei piloti sono setup dove si costruisce query come la rappresentazione lingue dei documenti BSON. In quali lingue hai intenzione di usare mongo?
5
È possibile creare querys MongoDB con Javascript nella clausola where e qui può verificarsi l'iniezione. Ecco la spiegazione su come prevenire questo: http://www.mongodb.org/display/DOCS/Do+I+Have+to+Worry+About+SQL+Injection
1
sì, utilizzando la ricerca regex. Es: diciamo che controlli tramite nome utente e non stai usando EQ op. Se passo [a-z], ad esempio, eviterò la tua azione di login :).
Ma in ogni caso, dipende molto dalla logica di come vengono implementate le cose nella soluzione.
Problemi correlati
- 1. Service Fabric Injection Testing and Dependency Injection
- 2. ASP.NET vNext 5 Dipendenze Injection (RoleManager)
- 3. Automapper insieme Dependency Injection
- 4. Classic ASP SQL Injection
- 5. Spring + Mockito test injection
- 6. spring boot dependency injection
- 7. Custom ResourceProviderFactory Dependency Injection
- 8. php null byte injection?
- 9. Groovy Dependency Injection
- 10. sql injection sintassi booleana
- 11. SQL Injection tramite mysql_query
- 12. Dependency Injection utilizzare file
- 13. ASP.NET MVC3 + ActionFilterAttribute + Injection?
- 14. Cross Site Scripting injection
- 15. SQL injection hacks e django
- 16. Pigro <> Ninject Injection
- 17. SQL injection non funziona correttamente
- 18. Backbone js model dependency injection
- 19. EJB injection in servlet failed
- 20. Dependency Injection e la fabbrica
- 21. Unity Injection Unity - Risoluzione condizionale
- 22. come proteggere contro LDAP Injection
- 23. Mysterious Play 2.4 Injection exception
- 24. Dependency Injection nel vostro Singleton
- 25. Come prevenire JavaScript Injection Attack
- 26. CDI Injection in a FacesConverter
- 27. Prevenire SQL Injection in ASP.Net
- 28. Caliburn Micro Constructor Injection Failed
- 29. ZF2 service locator & dependency injection
- 30. Questa query è vulnerabile a SQL injection?
Potete chiarire la domanda con la lingua con cui intendete interfacciare mongo? –
domanda aggiornata – Mark