Wie gefährlich ist MongoDB's $ where operator?

Angenommen, ich habe zwei Sammlungen in meiner MongoDB-Datenbank und einen HTTP-Dienst, mit dem ein Benutzer ein JSON-Objekt senden kann. Die geparsten json wird dann wie folgt verwendet:

db.public_collection.find(user_json).limit(10)

Dies wird durch einen RBAC Benutzer ohne Schreibzugriff durchgeführt.

die $ Mit dem Betreiber könnte ein Benutzer:

Alter Datensätze in der Sammlung (ich nehme an RBAC dies verhindert)?
Datensätze in einer anderen Sammlung ändern?
Führen Sie eine ressourcenintensive Abfrage durch, die den Server verlangsamt hat?

Quelle

2016-04-06 TDN169

Ich bin mir nicht sicher, was Sie fragen. Wenn Sie eine find() - Methode ausführen und der Benutzer keinen Lesezugriff hat, wie kann der Befehl find ausgeführt werden? –

Ups, das war ein Tippfehler - jetzt geändert, um Zugriff zu schreiben. – TDN169

[Was sollte jeder Programmierer über Sicherheit wissen?] (Https://stackoverflow.com/questions/2794016/what-should-every-programmer-know-about-security) – styvane

Ihre RBAC-Einrichtung würde den Zugriff auf den HTTP-Dienst regeln. Wenn die Mongo-Find-Methode in Funktion ist, erlaubt sie nichts anderes, als Operationen zu dieser bestimmten Sammlung zu finden/zu lesen. Nichts schließt den Benutzer aus, eine teure Abfrage anzugeben. Es ist jedoch unwahrscheinlich, dass eine Abfrage, die eine einzelne Sammlung umfasst, sehr teuer ist, und Sie begrenzen die Ergebnisse auf 10.

Quelle

2016-04-06 15:57:29

Dies ist keine großartige Idee. Beispiele hierzu finden Sie in den Artikeln Testing for NoSQL Injection und NoSQL injection in MongoDB, in denen beschrieben wird, wie dies missbraucht werden könnte, um einen Denial-of-Service-Angriff zu erzeugen, indem JavaScript-Funktionen in die Abfrage eingefügt werden oder Informationen verloren gehen, auf die der Benutzer keinen Zugriff hat.

Quelle

2017-09-15 15:26:51

Wie gefährlich ist MongoDB's $ where operator?

Antwort

Verwandte Themen