MongoDB Injector

L'injection NoSQL est une classe de vulnérabilité d'application web qui cible les bases de données non relationnelles comme MongoDB, CouchDB et DynamoDB. Contrairement à l'injection SQL traditionnelle, l'injection NoSQL exploite la syntaxe de requête et les opérateurs spécifiques aux bases de données documentaires et clé-valeur. Alors que les organisations adoptent de plus en plus les bases de données NoSQL pour leur flexibilité et leur évolutivité, comprendre ces techniques d'injection est devenu essentiel pour les professionnels de la sécurité. Ce tutoriel d'injection NoSQL couvre les concepts fondamentaux derrière ces attaques.

En quoi l'injection NoSQL diffère de l'injection SQL

Alors que l'injection SQL manipule des chaînes de langage de requête structuré, l'injection NoSQL exploite généralement des objets de requête basés sur JSON et des opérateurs spécifiques à la base de données. Dans MongoDB, par exemple, les requêtes sont construites en utilisant des objets JavaScript avec des opérateurs comme $gt, $ne, $regex et $where. Lorsque les applications transmettent les entrées utilisateur directement dans ces objets de requête sans validation, les attaquants peuvent injecter des opérateurs qui altèrent la logique de la requête - contournant l'authentification, extrayant des données ou modifiant des enregistrements.

Techniques courantes d'injection MongoDB

Le schéma d'injection MongoDB le plus fréquemment exploité implique le contournement d'authentification. Si un formulaire de connexion transmet le nom d'utilisateur et le mot de passe directement dans une requête MongoDB, un attaquant peut remplacer les valeurs de chaîne par des objets opérateurs comme {"$ne": ""} (différent de chaîne vide), qui correspond à toute valeur non vide. Cela dit effectivement à la base de données de retourner les utilisateurs dont le mot de passe n'est pas vide - contournant entièrement la vérification du mot de passe. D'autres techniques incluent l'utilisation de $regex pour l'extraction de données, $where pour l'injection JavaScript, et $gt/$lt pour l'énumération basée sur les plages.

Impact dans le monde réel

Des vulnérabilités d'injection NoSQL ont été découvertes dans des applications web majeures, des APIs et des plateformes IoT. Une exploitation réussie peut mener au contournement d'authentification, à l'accès non autorisé aux données, à l'exfiltration de données et, dans certains cas, à l'exécution de code à distance par l'évaluation JavaScript côté serveur. Comme le démontre ce tutoriel d'injection NoSQL, ces attaques sont particulièrement dangereuses car de nombreux développeurs familiers avec la prévention de l'injection SQL ne sont pas conscients que des risques similaires existent dans les bases de données NoSQL.

Stratégies de prévention

La défense contre l'injection NoSQL nécessite la vérification de type des entrées utilisateur (s'assurer que les chaînes restent des chaînes et ne sont pas converties en objets), l'utilisation de requêtes paramétrées ou de bibliothèques ODM (Object Document Mapper) qui gèrent l'échappement, la validation des entrées par rapport aux schémas attendus, et la désactivation des fonctionnalités dangereuses comme l'exécution JavaScript côté serveur. Les tests de sécurité réguliers avec des charges utiles spécifiques au NoSQL devraient faire partie du processus d'évaluation de sécurité de chaque application.