NoSQL-Injection

NoSQL-Datenbanken wie MongoDB, CouchDB und Redis sind aufgrund ihrer Flexibilität und Skalierbarkeit in modernen Webanwendungen weit verbreitet. Jedoch bergen sie, wie ihre SQL-Gegenstücke, Sicherheitsrisiken, insbesondere in Form von NoSQL-Injection-Angriffen.

Was ist NoSQL-Injection?

NoSQL-Injection ist eine Angriffstechnik, bei der Angreifer manipulierte Daten in eine NoSQL-Datenbank einschleusen, um unautorisierte Zugriffe oder Datenmanipulationen durchzuführen. Diese Angriffe nutzen Schwachstellen in der Datenbankabfrage, die durch unsichere Benutzereingaben entstehen.

Wie funktioniert NoSQL-Injection?

Angreifer fügen bösartigen Code in Benutzereingaben ein, der dann von der Anwendung direkt in die Datenbankabfrage integriert wird. Wenn es sich beispielsweise bei der Eingabe um ein JSON object handelt, könnten Query Operatoren als Nested Object eingefügt werden.

{"username":{"$ne":"invalid"}}

Schutzmaßnahmen gegen NoSQL-Injection

Die genauen Schutzmaßnahmen hängen von der verwendeten Datenbank ab, jedoch ist folgendes allgemein gültig:

1. Eingabevalidierung: Validieren und bereinigen Sie alle Benutzereingaben gründlich, um sicherzustellen, dass sie den erwarteten Parametern entsprechen. Verwenden Sie allowlists für erlaubte Zeichen.
2. Parametrisierte Abfragen: Verwenden Sie parametrisierte Abfragen, um die direkte Einbindung von Benutzereingaben in Datenbankabfragen zu vermeiden.
3. Allowlist Keys: Verwenden Sie eine Allowlist mit erlaubten Keys, um Operator Injection zu vermeiden.
4. Zugriffsrechte einschränken: Beschränken Sie die Zugriffsrechte auf die Datenbank, um sicherzustellen, dass Anwendungen nur auf die Daten zugreifen können, die sie wirklich benötigen.