inyección mongoDB

Question

¿existe un patrón común en Java para evitar los ataques de inyección mongoDB?

Gracias

Answer 1

Utilice uno de los controladores admitidos. No deserialice las cadenas como JSON y páselos como consultas, p. 'No hacer esto (en Ruby):

collection.send(query_type, JSON.parse(parameters)) 

donde query_type y parameters son cadenas procedentes de una forma. Sin embargo, tendrías que ser criminalmente estúpido para hacer esto.

Dado que no hay lenguaje de consulta como tal, no hay la misma habitación para la inyección. Parte de la razón por la que los ataques de inyección SQL son posibles es que la acción a tomar (SELECT, UPDATE, DELETE, etc.) es parte de la cadena de consulta. MongoDB, y muchas otras bases de datos más nuevas, no funcionan así, en su lugar, la acción es parte de la API. Donde los controladores SQL solo tienen query y en algunos casos exec, MongoDB tiene find, update, insert y remove.

Answer 2

La mayoría de los conductores son de configuración donde construir consultas como la representación idiomas de los documentos BSON. ¿En qué idiomas pretendes utilizar mongo?

Answer 3

Puede crear consultas de MongoDB con Javascript en la cláusula where y aquí la inyección puede ocurrir. Aquí la explicación de cómo evitar esto: http://www.mongodb.org/display/DOCS/Do+I+Have+to+Worry+About+SQL+Injection

Answer 4

sí hay, mediante el uso de la búsqueda de expresiones regulares. Ejemplo: digamos que no verifica por nombre de usuario y no está utilizando EQ op. Si paso [a-z] por ejemplo, omitiré su acción de inicio de sesión :).

Pero de todos modos, depende mucho de la lógica de cómo se implementan las cosas en la solución.