NoSQL Injection

Les attaques par injection NoSQL contre les applications MongoDB vont au-delà du simple contournement d'authentification vers des techniques sophistiquées qui manipulent les contrôles de visibilité et les restrictions d'accès. Les applications web modernes implémentent souvent des contrôles d'accès au niveau du document dans MongoDB, utilisant des champs comme le statut de visibilité, les niveaux de permission ou les tags de classification pour filtrer les données que les différents utilisateurs peuvent voir. Lorsque ces contrôles reposent sur un filtrage au niveau des requêtes qui peut être contourné par l'injection d'opérateurs, les attaquants peuvent accéder à des données restreintes qui devraient rester cachées.

Opérateurs MongoDB et contournement du contrôle d'accès

MongoDB fournit un riche ensemble d'opérateurs de requête qui peuvent être exploités lorsque les applications acceptent des paramètres de requête contrôlés par l'utilisateur. Au-delà des opérateurs courants $ne et $gt utilisés pour le contournement d'authentification, des opérateurs plus avancés comme $regex, $exists, $in et $or peuvent être utilisés pour créer des requêtes qui contournent les filtres de visibilité. Lorsqu'une application implémente le contrôle d'accès en ajoutant des conditions de filtre aux requêtes utilisateur, un attaquant peut être en mesure d'utiliser des opérateurs logiques pour outrepasser ces restrictions.

Classification des données basée sur la visibilité

De nombreuses applications classifient les documents avec des niveaux de visibilité tels que "public", "interne" et "confidentiel". La logique de l'application ajoute généralement un filtre pour ne retourner que les documents correspondant au niveau de visibilité autorisé de l'utilisateur. Cependant, si la construction de la requête permet l'injection d'opérateurs, les attaquants peuvent manipuler le filtre de visibilité pour inclure des classifications restreintes. Ceci est particulièrement dangereux dans les systèmes de gestion documentaire, les plateformes de contenu et les bases de données de produits où le contrôle d'accès est appliqué au niveau de la requête plutôt que par une couche d'autorisation séparée.

Techniques avancées d'injection NoSQL

L'injection NoSQL sophistiquée va au-delà de la simple substitution d'opérateurs. Les techniques incluent l'exploitation des différences entre la correspondance explicite de champs et les requêtes basées sur les opérateurs, le chaînage de multiples opérateurs pour construire des conditions logiques complexes, l'utilisation de motifs regex pour énumérer les valeurs de champs caractère par caractère, et l'exploitation du comportement de comparaison de types de MongoDB pour contourner les filtres basés sur les chaînes. Ces méthodes avancées démontrent que l'injection NoSQL est une classe de vulnérabilité profonde et nuancée nécessitant une compréhension approfondie pour être à la fois exploitée et défendue.

Défense contre l'injection NoSQL avancée

La protection contre l'injection NoSQL avancée nécessite une défense en profondeur. Les applications devraient appliquer le contrôle d'accès au niveau de la couche applicative indépendamment des requêtes de base de données, valider et sanitiser toutes les entrées utilisateur avant la construction des requêtes, utiliser des listes blanches pour les opérateurs de requête acceptables, implémenter la construction de requêtes côté serveur qui n'incorpore jamais directement les entrées utilisateur, et employer des contrôles d'accès au niveau de la base de données comme couche de défense secondaire. Les tests d'intrusion réguliers avec des charges utiles spécifiques au NoSQL sont essentiels pour identifier ces vulnérabilités avant les attaquants.