NoSQL Injection (NoSQL インジェクション)¶
概要¶
ユーザー入力からデータベース クエリーが作成される場合、攻撃者が悪意のあるデータベース クエリーを実行できる可能性があります。
推奨事項¶
MongoDB の場合: ユーザー入力から直接 BSON クエリーを作成してはいけません。— 必ずクライアント ライブラリがサポートするメソッドを使用して安全にクエリーを構築します。
追加のセキュリティ レイヤーとして、--noscripting を使用してサーバーサイド javascript を無効化した状態で MongoDB を実行することを検討してください (もちろん、特にサーバーサイド javascript が必要な場合を除きます)。この設定はインジェクション攻撃を防ぎませんが、潜在的な深刻度を大幅に限定します。