31 Aug 2020

Cara Mencegah Injeksi NoSQL

Kerentanan injeksi NoSQL adalah kesalahan yang akan terjadi dalam aplikasi web yang menggunakan database NoSQL . Masalah keamanan aplikasi web ini memungkinkan pihak jahat melewati otentikasi, mengekstrak data, mengubah data atau bahkan mendapatkan kendali penuh atas aplikasi. Injeksi NoSQL hanyalah salah satu dari banyak serangan injeksi, mirip dengan Injeksi SQL tradisional. Mereka direkayasa untuk mengeksploitasi database modern yang tidak menggunakan SQL.

Bagaimana Mencegah Injeksi NoSQL

Untuk menghindari injeksi NoSQL, Anda harus selalu memperlakukan input pengguna sebagai tidak tepercaya. Inilah yang dapat Anda lakukan untuk memvalidasi input pengguna :
  • Gunakan perpustakaan sanitasi. Misalnya, mongo-sanitize atau luwak.
  • Jika Anda tidak dapat menemukan perpustakaan untuk lingkungan Anda, berikan masukan pengguna ke jenis yang diharapkan. Misalnya, mentransmisikan nama pengguna dan sandi ke string.
  • Dalam kasus MongoDB, jangan pernah menggunakan where, mapReduce, atau operator grup dengan input pengguna karena operator ini mengizinkan penyerang untuk menginjeksi JavaScript hakl ini akan jauh lebih berbahaya daripada yang lain. Untuk keamanan ekstra, setel javascriptEnabled ke false di mongod.conf, jika memungkinkan.
  • Selain itu, selalu gunakan model dengan hak paling rendah: jalankan aplikasi Anda dengan hak istimewa serendah mungkin sehingga meskipun dieksploitasi, penyerang tidak dapat mengakses sumber daya lain.
Acunetix adalah pelopor  keamanan web global, sebagai perusahaan pertama yang membangun pemindai kerentanan web yang sepenuhnya berdedikasi dan otomatis. Acunetix memberikan pengalaman yang berbeda dan telah dikenal sebagai solusi terbaik dan terpercaya untuk penyelesaian sistem keamanan web. Berbagai sektor industri telah menggunakan termasuk sektor perusahan dengan tingkat kebutuhan yang tinggi. Askarasoft adalah official partner dari Acunetix solution.
0 Comment

Leave a Comment