Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Via de Browser een MongoDB erachter
21-10-2019, 06:34 door Anoniem, 4 reacties
Ik heb een Web Applicatie waarachter mongodb draait. Mijn vraag is wat soort risico's dien ik voor op te letten?
Zijn er bijvoorbeeld SQL injectie type aanvallen mogelijk (op internet lees nosql injecties maar echt inhoudelijk info ontbreekt vaak).
Hoe zorg ik ervoor dat een "vijandig" actor niet de connectie ziet tussen mijn webapplicatie en mongodb?
En alle andere tips zijn welkom :)
Zijn er bijvoorbeeld SQL injectie type aanvallen mogelijk (op internet lees nosql injecties maar echt inhoudelijk info ontbreekt vaak).
Hoe zorg ik ervoor dat een "vijandig" actor niet de connectie ziet tussen mijn webapplicatie en mongodb?
En alle andere tips zijn welkom :)
Reacties (4)
Een beetje flauw, maar: Als je het niet ziet zitten om zelf die informatie bijelkaar te sprokkelen, huur iemand in die het voor je kan. Ook omdat "vijandig denken" voor veel mensen maar wat lastig is. "Oh dat zal wel goed gaan" werkt niet echt als risico-analyse, daar heb je een blik nodig die schraal daglicht aankan.
Sommige dingen zijn vrij simpel. Teken een plaatje van hoe je datastromen lopen, bijvoorbeeld zoiets:
webaanvraag -> webapplicatie -> mongodb
antwoord <- webapplicatie <-------/
En stel je daarbij vragen als, welke systemen lopen deze stromen overheen, wie zou daar nog meer bij kunnen, en meer van dat soort vragen.
Als je wil weten of je sql-injectie-achtig gevaar loopt, nou, leer hoe sql-injecties werken en kijk of iets vergelijkbaars kan met hoe je webapplicatie mongodb aanstuurt. En zo verder.
En om te beginnen, een standaardinstallatie van mongodb staat "open voor de wereld", dus begin eens met je toegangspermissieinstellingen te bekijken.
Sommige dingen zijn vrij simpel. Teken een plaatje van hoe je datastromen lopen, bijvoorbeeld zoiets:
webaanvraag -> webapplicatie -> mongodb
antwoord <- webapplicatie <-------/
En stel je daarbij vragen als, welke systemen lopen deze stromen overheen, wie zou daar nog meer bij kunnen, en meer van dat soort vragen.
Als je wil weten of je sql-injectie-achtig gevaar loopt, nou, leer hoe sql-injecties werken en kijk of iets vergelijkbaars kan met hoe je webapplicatie mongodb aanstuurt. En zo verder.
En om te beginnen, een standaardinstallatie van mongodb staat "open voor de wereld", dus begin eens met je toegangspermissieinstellingen te bekijken.
21-10-2019, 10:48 door
MathFox
Als je dit type fundamentele vragen moet stellen heb je (nog) niet de competentie om een veilige webservice te bouwen. Begin er niet aan, tenzij je het als schoolopdracht doet.
Bij een standaard webapplicatie heb je een API die implementatiedetails van de server afschermt voor de client. De webserver "praat" met een database server en de client hoeft niet te weten of dat een SQL of een nosql database is. Jouw database server (wat voor type dan ook) is niet direct toegankelijk vanaf het Internet, alle contact met de client gaat via de webserver, die ook de data voor de database filtert.
Bij een standaard webapplicatie heb je een API die implementatiedetails van de server afschermt voor de client. De webserver "praat" met een database server en de client hoeft niet te weten of dat een SQL of een nosql database is. Jouw database server (wat voor type dan ook) is niet direct toegankelijk vanaf het Internet, alle contact met de client gaat via de webserver, die ook de data voor de database filtert.
Door MathFox: Als je dit type fundamentele vragen moet stellen heb je (nog) niet de competentie om een veilige webservice te bouwen. Begin er niet aan, tenzij je het als schoolopdracht doet.
Vervolgens wordt TS aangenomen bij een start-up want hij deed het toch zo goed op school. En even later ligt het hele klantenbestand op straat. Huh, hoe kan dat nu?Bij een standaard webapplicatie heb je een API die implementatiedetails van de server afschermt voor de client. De webserver "praat" met een database server en de client hoeft niet te weten of dat een SQL of een nosql database is. Jouw database server (wat voor type dan ook) is niet direct toegankelijk vanaf het Internet, alle contact met de client gaat via de webserver, die ook de data voor de database filtert.
Ja, wacht even: Dat is de bedoeling, maar is dat wel zo? Daar gaat de vraag over.Kunnen zien of dat zo is, is de truuk en het antwoord op de vraag. Helaas is dat niet even 1-2-3 uit te leggen. Het leren zien kost tijd en ervaring. Het is helaas wel specialistenwerk.
Helaas, want er zijn heel erg veel webapplicatiebouwers die dat voor hun brood doen maar dit soort, dus de facto basisvaardigheden, helaas toch niet helemaal beheersen. Om niet te zeggen helemaal niet. En dan hebben we het nog niet eens op de webknutselaars die even iets opzetten uit rondslingerende componenten zonder zelfs maar te weten hoe je die componenten bouwt. In dat opzicht is het stellen van de vraag positief, al is het slechts de eerste stap op een lange, lange weg.
Door Anoniem: Een beetje flauw, maar: Als je het niet ziet zitten om zelf die informatie bijelkaar te sprokkelen, huur iemand in die het voor je kan. Ook omdat "vijandig denken" voor veel mensen maar wat lastig is. "Oh dat zal wel goed gaan" werkt niet echt als risico-analyse, daar heb je een blik nodig die schraal daglicht aankan.
Ik sluit mij aan bij deze reactie. De anonieme topicstarter stelt een zeer algemene vraag waar hij meerdere open antwoorden op kan krijgen. Het lijkt alsof er hier op het forum vandaag een spelletje phishing/baiting gespeeld wordt. Hij praat over "vijandige actor" wat specifieke terminologie is die uit de inlichtingenwereld is komen overwaaien. Ik ga er vanuit dat topicstarter de vraag zelf heel goed kan zelf beantwoorden of opzoeken.
Koos - sha256:4cda305e9684e334a5dcc2e864787923c728c9cb244476c65135b3a948539147
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
