关于NOSQL注入及防御

关于NOSQL注入及防御

  • 相比于sql数据库,nosql数据库同样存在注入问题
  • 举个攻击的例子,比如在登录的时候,一般需要一个用户名和密码
  • 下面是简化版本的后端验证程序,如下
    var mongoose = require('mongoose');
    login = async function(ctx) {
        var username = ctx.request.body.username;
        var password = ctx.request.body.password;
    
        mongoose.findOne({
            username:username,
            password:password
        });
    }
    
  • 看起来好像并没有问题,但是这里的username和password如果不是一个字符串会怎样
  • 那就会构成一个查询条件,比如前端传递的参数是
    {
        "username": "Joh",
        "password": {"$gt":0}
    }
    
  • 这时候就会构成一条查询语句,密码长度大于0的数据
  • 这个本质上也是一种注入过程,本来是数据,现在变成了逻辑程序
  • 那么如何防御呢?这里也给出一些解决方案

NOSQL注入的防御

1 ) 检查数据类型

  • 检查数据类型,像是上面的password,一定是string类型的
  • 如果不是可以自行选择处理方式,比如下面的强制类型转换

2 ) 类型转换

  • 将参数直接强制转换成特定类型,就不会出现上面的问题
  • 这是防注入的最好的方案

3 ) 写完整条件

  • 将查询条件写完整,不让其存在注入漏洞的可能
  • 这是最后的底线

你可能感兴趣的:(Web,nosql,前端,javascript)