Preguntas con etiqueta 'mongodb'

3
respuestas

¿Cómo asegurar una instancia de MongoDB? [cerrado]

¿Alguien tiene experiencia en asegurar / fortalecer el servidor MongoDB? Las listas de verificación o guías serían bienvenidas.     
hecha 27.09.2011 - 13:26
4
respuestas

¿Qué tipo de ataques se pueden usar contra MongoDB?

Estoy empezando a aprender MongoDB y sentí curiosidad por saber si era susceptible a algún tipo de ataque de inyección similar a SQLi . Debido a la naturaleza de la base de datos, no creo pensar que se pueda inyectar en ella, pero ... ¿Qué o...
hecha 07.11.2012 - 17:08
2
respuestas

Encriptación con Mongo

¿Cómo puedo lograr los siguientes objetivos? Toda la computación y el almacenamiento se ubicarán en la nube. Cifrado en tránsito de todos los datos entre los nodos web y los nodos db que ejecutan MongoDB. ¿Cómo configurar túneles? ¿Qué p...
hecha 11.04.2011 - 18:10
2
respuestas

___ inyección de qstnhdr ___ MongoDB Nosql en código python ______ qstntxt ___

Aquí está el fragmento de código para acceder a MongoDB.

%pre%

Me dijeron que este código es vulnerable a la inyección NoSQL ya que la variable de condición no está correctamente desinfectada. Pero no pude entender cómo funciona la inyección con python. ¿Puede alguien darme un ejemplo como qué entrada puede causar los problemas o algunas referencias a un ataque de inyección relacionado? Por cierto, también hice algunas investigaciones por mi cuenta, pero solo encontré la inyección basada en Javascript y traté de no funcionar en este caso. Gracias.

    
______ answer83234 ___

El operador %code% en MongoDB es una característica que es mejor evitar. Su rendimiento es abismal, y no solo porque no se beneficia de los índices. Casi todos los casos de uso comunes se pueden resolver de manera mucho más eficiente con una consulta o agregación de búsqueda común, especialmente una tan trivial como esta. Pero esto es un intercambio de seguridad de pila, no un flujo de pila, así que concentrémonos en las implicaciones de seguridad.

La declaración %code% pasa un fragmento de código javascript a la base de datos que la base de datos ejecutará una vez para cada documento de la colección. Afortunadamente, este script no tiene acceso al objeto %code% ni a otras funciones de shell peligrosas y funciona en copias de los documentos, por lo que el atacante al menos no puede cambiar el contenido de la base de datos como ocurre con muchas inyecciones de SQL. Pero, por ejemplo, es vulnerable a los ataques donde el atacante quiere devolver otros resultados de los previstos.

Vamos a hacer un ejemplo. Digamos que tenemos un blog. Nuestro blog tiene muchos artículos que se pueden leer en público, pero también tenemos algunos artículos privados que son para nuestro uso interno y que no deben publicarse. Así que tenemos un campo %code% en nuestros documentos que puede ser %code% o %code% dependiendo de si nuestros visitantes deben ver el artículo o no. Nuestra consulta de MongoDB para obtener una lista de todos los artículos en una categoría determinada para mostrarla al visitante del sitio web es así:

%pre%

Eso debería asegurarnos de que nadie vea nuestros artículos ocultos. O lo hace? Cuando el usuario controla la variable %code% , puede establecerla en esta cadena:

%pre%

El fragmento de código Javascript resultante que se envía a la base de datos es el siguiente:

%pre%

Cuando tiene un fragmento de código javascript con varios comandos separados por %code% , se ejecutarán como una función y se necesita una declaración %code% para determinar qué valor se devolverá al llamante. Esta función siempre devolverá verdadero. Eso significa que el usuario también verá todos los artículos de nuestra colección, incluidos aquellos que se supone que están ocultos.

    
______ answer83261 ___
  

¿Puede alguien darme un ejemplo como qué entrada puede causar los problemas?

Para su pieza concreta de código, esto debería funcionar:

%pre%

%code% se usa para escapar de la cadena y la instrucción, luego sigue el ataque real %code% (ataque DOS), y luego el %code% aún en pie se transforma en una sintaxis válida a través de %code% .

Hasta la versión 2.4 de MongoDB, el objeto %code% era realmente global, por lo que podría cambiar los datos en la base de datos, e incluso recuperar datos usando inyección ciega .

Como ya no es posible, lo máximo que puede hacer un atacante es DOS y la evasión del filtro descrita por Philipp (lo que no sería un problema para su ejemplo, pero puede ser un problema en general).

Eso todavía es bastante malo, por lo que deberías defenderte escapando %code% , %code% y %code% .

    
___

Aquí está el fragmento de código para acceder a MongoDB. client = MongoClient() db = client.test_database collection = db.test # Get data from fields condition = form.getvalue('name') if condition: where = {"$where": "this.name == '"+cond...
hecha 07.03.2015 - 00:35
1
respuesta

¿Almacenar contraseñas de usuario en la base de datos NoSQL?

Actualmente estoy codificando el backend de un sitio web y no he encontrado un artículo en el que se discuta esto. Quiero almacenar todos los datos de mi aplicación en MongoDB, pero me gustaría dividir mi información sensible del usuario en una...
hecha 12.09.2012 - 19:25
2
respuestas

Servidor MongoDB / Debian atacado con éxito: ¿motivo para que la ip pública llegue al servidor mongodb?

Obtuve un servidor mongodb que, desde los archivos de registro, obtuvo una conexión desde una dirección IP remota, aunque obviamente no está permitido (o para ser más precisos: el mongod no está vinculado a ninguna interfaz pública) debido al ar...
hecha 25.04.2017 - 11:51
2
respuestas

¿Qué tan seguro es el protocolo de conexión de MongoDB?

Estoy creando una aplicación independiente JavaFX 2.0 (se distribuirá como un archivo .exe) y abre una conexión a una instancia de MongoDB. La conexión es solo una conexión estándar de Mongo que utiliza el protocolo de conexión Mongo. ¿Es el...
hecha 22.10.2013 - 18:13
2
respuestas

¿MongoDB no almacena realmente contraseñas de texto sin formato?

Según la documentación en enlace :    El controlador ejecuta el comando de autenticación para la base de datos en la que se va a autenticar.   El comando de autenticación tiene la siguiente sintaxis: db.runCommand( { authenticate : 1, user...
hecha 14.07.2013 - 17:21
2
respuestas

¿Es seguro exponer MongoDB ObjectID a los usuarios (por ejemplo, en URI)?

Estoy desarrollando una API RESTful utilizando MongoDB como backend. Lo más fácil de hacer programáticamente sería utilizar simplemente el campo _id de MongoDB en el URI, como: enlace Sé que el ObjectID se basa en parte en la marc...
hecha 23.07.2014 - 01:30
1
respuesta

Almacenamiento de la cuenta bancaria del Reino Unido y código de clasificación en la base de datos MongoDB

La empresa para la que trabajo debe enviar pagos mensuales a entre 20 y 50 usuarios a la vez. Estos usuarios pueden cambiar de mes a mes. En general, cada usuario recibirá dinero de nosotros durante 2 o 3 meses. Los usuarios completan un form...
hecha 08.07.2017 - 21:58