Инъекция NoSQL в DynanmoDB

Question

Инъекция NoSQL в DynanmoDB

Кто-нибудь знает, есть ли какие-либо известные уязвимости SQL с библиотекой Dynogels при взаимодействии с базой данных NO SQL.

Не используя никаких сложных запросов, только стандартное болото с существующими методами. query(), где (), equals() и т. д.

0

dynogels

Источник

user12180795 12 окт '19 в 14:39

2 ответа

Решение

Возможно, это не совсем известная проблема, но работа с входными данными в целом и их сохранение в любой базе данных, которую вы всегда должны дезинфицировать, чтобы предотвратить инъекции.

Поскольку вы часто имеете дело с JSON в DynanmoDB, будьте особенно осторожны при десериализации пользовательского ввода в объекты JSON и вставке или обновлении этих объектов непосредственно в базу данных NoSQL. Например, убедитесь, что пользователь не может добавлять дополнительные поля в объект JSON.

Все зависит от того, как вы проверяете вводимые пользователем данные.

Я думаю, можно с уверенностью сказать, что базы данных NoSQL больше обращаются к базе данных с точки зрения функций и объектов JSON. Вам нужно меньше беспокоиться о SQL-инъекциях, чем о традиционныхstring based access (TSQL) базы данных.

0

Источник

user1105777 12 окт '19 в 19:42

Другие вопросы по тегам dynogels

user501250 12 окт '19 в 19:47 2019-10-12 19:47 · Accepted Answer · 2019-10-12 19:47

Dynogels передает предоставленные значения фильтра / запроса, используя ExpressionAttributeValues структура, которая отделена от самой структуры запроса (FilterExpression). Это аналогично использованию параметризованных запросов SQL, которые передают параметры в отдельной структуре от самого запроса.

Другими словами, пока вы используете только ненадежный ввод в качестве значений фильтра, внедрение, изменяющее структуру запроса, не должно быть возможным:

// Assume "req.body" is untrusted input
Table.query(req.body.key)
    .filter('somecolumn').equals(req.body.somecolumn)
    .exec(callback);

Вышеупомянутое безопасно, если это не уязвимость на уровне приложения, позволяющая пользователю запрашивать любой ключ. Во всех контекстах, где выше используется ненадежный ввод, он не может повлиять на структуру запроса.

Раскрытие информации: я являюсь одним из разработчиков диногелей. Если вы обнаружите уязвимость, сообщите нам о ней в частном порядке, чтобы мы могли устранить ее до публичной публикации сведений.