توفر قاعدة بيانات (NoSQL) آلية لتخزين واسترجاع البيانات، والتي تستخدم في قواعد البيانات العلائقية، كما تنفذ قواعد بيانات (NoSQL) استعلامات سريعة وسهلة الاستخدام وقابلة للتطوير ومرنة للغاية.
ما هو حقن نقطة الضعف في الويب NoSQL
يُعد حقن (NoSQL) ثغرة تسمح للمتسلل الخبيث بإدخال كود غير مرغوب فيه في استعلامات قاعدة البيانات التي تنفذها قواعد بيانات (NoSQL)، يمكن أن يسمح حقن (NoSQL)، على عكس حقن (SQL)، للمهاجمين بتجاوز المصادقة أو سرقة البيانات الحساسة أو التلاعب بالبيانات الموجودة في قاعدة البيانات أو حتى اختراق قاعدة البيانات والخادم الأساسي، تحدث معظم ثغرات حقن (NoSQL) لأن المطورين يقبلون ويعالجون مدخلات المستخدم دون فحصها بشكل صحيح.
آلية عمل حقن نقطة الضعف في الويب NoSQL
- يحدث حقن (NoSQL) عندما لا يتم إعداد الاستعلام بطريقه صحيحة، والذي يتم تسليمه عادةً بواسطة المستخدم النهائي، مما يسمح للمهاجم بتضمين إدخال ضار ينفذ أمرًا غير مرغوب فيه في قاعدة البيانات.
- لا تعمل تقنيات حقن (SQL) التقليدية في قواعد بيانات (NoSQL)، لأنها تستخدم لغة استعلام محددة لا تدعم (SQL)، لمهاجمة قواعد بيانات (NoSQL)، يجب على المهاجمين تعديل تقنياتهم لتلائم بنية الاستعلام الخاصة بالمنتج، والتي قد تكون مكتوبة بنفس اللغة المستخدمة في ترميز محرك قاعدة البيانات.
- نظرًا لأن بعض قواعد بيانات (NoSQL) تستخدم رمز التطبيق لاستعلاماتهم، لا يمكن للمهاجمين فقط تنفيذ الإجراءات غير المرغوب فيها على قاعدة بيانات (NoSQL).
- ولكن أيضًا تنفيذ تعليمات برمجية ضارة وإدخال غير مؤكد داخل التطبيق نفسه، يسمح هذا للمهاجمين باختطاف الخوادم واستغلال الثغرات الأمنية التي تتجاوز النطاق المعتاد لهجمات حقن (SQL)، مما يجعل عمليات حقن (NoSQL)، في بعض الحالات، أكثر خطورة من حقن (SQL).
- تتم إدارة الوصول إلى البيانات بواسطة برنامج تشغيل، مما يسمح لهم بالوصول إلى قاعدة البيانات، حتى لو لم تكن برامج التشغيل هذه ضعيفة، فقد يكون لديهم واجهات برمجة تطبيقات غير آمنة.
