NoSQL – Security Vulns test

1. Encryption/authetication
2. NoSQL-injecctions
https://github.com/tcstool/NoSQLMap
A. eval, setTimeout

A1 – Injection

Server Side JavaScript Injection – SSJI

– Server Injection
eval, setTimeout, setInterval
setTimeout och setInterval använder båda eval, därför är de dåliga att använda.

Om man sätter några av dom att tolka user input så ger man i princip total kontroll över ALLT som kan ske på servern. Du kan injecta kod, som du sen kör.
Lösning:
Använd JSON.parse() istället. Mycket säkrare. Eval är snabbare, men galet mycket farligare.

Använd ‘use strict’

Att göra:
a. Kontrollera så att vi aldrig använder ovan nämna funktioner under dessa omständigheter.
b. Använd alltid ‘use strict’.

Vidare läsning:
http://arxiv.org/pdf/1506.04082.pdf

2. NoSQL-injection
– MongoDB injection

Lösning: validera/sanitizea all input.

Att göra:
a. Validera/sanitizea all input.

A2-Broken Authentication and Session Management

http://arxiv.org/pdf/1506.04082.pdf

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s