NoSQL e Segurança: Um estudo de análise para prevenção de injeção em bancos de dados NoSQL
Resumo
A análise de vulnerabilidades de segurança em bancos de dados NoSQL, com ênfase nos ataques de injeção de código, revela os desafios enfrentados por sistemas amplamente adotados em aplicações web e na nuvem. O crescimento exponencial dos bancos de dados NoSQL, impulsionado por sua capacidade de lidar com grandes volumes de dados não estruturados e escalabilidade horizontal, contrasta com a robustez e integridade transacional dos bancos de dados relacionais (SQL). Apesar da flexibilidade e da eficiência oferecidas pelos sistemas NoSQL, eles apresentam novas ameaças de segurança, especialmente relacionadas a ataques de injeção, que podem comprometer a integridade e a confidencialidade dos dados. A comparação detalhada entre as arquiteturas SQL e NoSQL destaca as principais vulnerabilidades associadas a cada uma, mapeando métodos e ferramentas existentes para a prevenção e mitigação de ataques em sistemas NoSQL. Simulações de ataques em um ambiente controlado replicam cenários reais de uso, incluindo técnicas como tautologias, Piggyback Queries, e ataques UNION, para testar as vulnerabilidades e avaliar a eficácia das estratégias de defesa. A validação de entradas por meio de Autômatos Finitos Determinísticos (DFA) surge como uma abordagem eficaz para prevenir tentativas de injeção antes que possam impactar o banco de dados. A criptografia RSA é explorada como uma camada adicional de proteção para dados sensíveis, reforçando a segurança de sistemas NoSQL contra ataques.
Palavras-chave:
NoSQL, Segurança, Injeção
Referências
KHAN, W. et al. SQL and NoSQL Database Software Architecture Performance Analysis and Assessments—A Systematic Literature Review. Big Data and Cognitive Computing. MDPI, 1 jun. 2023.
POSTON, H. What is NoSQL Injection?. Infosec Institute, 18 fev. 2020. Disponível em: [link]. Acesso em: 2 jul. 2024.
SHACHI, M. et al. A Survey on Detection and Prevention of SQL and NoSQL Injection Attack on Server-side Applications. International Journal of Computer Applications, v. 183, n. 10, p. 1–7, 21 jun. 2021
GUO, D.; ONSTEIN, E. State-of-the-art geospatial information processing in NoSQL databases. ISPRS International Journal of Geo-Information. MDPI AG, 1 maio 2020.
LAWAL, M. A.; SALEH, M. A. Security Testing Tool for NoSQL Systems. JKAU: Comp. IT. Sci, v. 8, n. 1, p. 85–93, 2019.
GOMES, R.; KAMALANATHAN, D. Comparing NoSQL and SQL Database Systems Based on Vulnerability to Injection and Adequacy of Countermeasures. [s.l: s.n.]. Disponível em: [link]. Acesso em: 15 ago. 2024.
UL ISLAM, M. R. et al. Automatic detection of NoSQL injection using supervised learning. Proceedings - International Computer Software and Applications Conference. Anais... IEEE Computer Society, 1 jul. 2019.
MEIER, A.; KAUFMANN, M. SQL & NoSQL Databases Models, Languages, Consistency Options and Architectures for Big Data Management. [s.l: s.n.].
SACHDEVA, V.; SACHIN GUPTA. Vulnerability Assesment For Advanced Injection Attacks Against Mongodb. JOURNAL OF MECHANICS OF CONTINUA AND MATHEMATICAL SCIENCES, v. 14, n. 1, 23 fev. 2019.
DEVALLA, V. et al. MURLi: A Tool for Detection of Malicious URLs and Injection Attacks. Procedia Computer Science. Anais... Elsevier B.V., 2022.
POSTON, H. What is NoSQL Injection?. Infosec Institute, 18 fev. 2020. Disponível em: [link]. Acesso em: 2 jul. 2024.
SHACHI, M. et al. A Survey on Detection and Prevention of SQL and NoSQL Injection Attack on Server-side Applications. International Journal of Computer Applications, v. 183, n. 10, p. 1–7, 21 jun. 2021
GUO, D.; ONSTEIN, E. State-of-the-art geospatial information processing in NoSQL databases. ISPRS International Journal of Geo-Information. MDPI AG, 1 maio 2020.
LAWAL, M. A.; SALEH, M. A. Security Testing Tool for NoSQL Systems. JKAU: Comp. IT. Sci, v. 8, n. 1, p. 85–93, 2019.
GOMES, R.; KAMALANATHAN, D. Comparing NoSQL and SQL Database Systems Based on Vulnerability to Injection and Adequacy of Countermeasures. [s.l: s.n.]. Disponível em: [link]. Acesso em: 15 ago. 2024.
UL ISLAM, M. R. et al. Automatic detection of NoSQL injection using supervised learning. Proceedings - International Computer Software and Applications Conference. Anais... IEEE Computer Society, 1 jul. 2019.
MEIER, A.; KAUFMANN, M. SQL & NoSQL Databases Models, Languages, Consistency Options and Architectures for Big Data Management. [s.l: s.n.].
SACHDEVA, V.; SACHIN GUPTA. Vulnerability Assesment For Advanced Injection Attacks Against Mongodb. JOURNAL OF MECHANICS OF CONTINUA AND MATHEMATICAL SCIENCES, v. 14, n. 1, 23 fev. 2019.
DEVALLA, V. et al. MURLi: A Tool for Detection of Malicious URLs and Injection Attacks. Procedia Computer Science. Anais... Elsevier B.V., 2022.
Publicado
27/11/2024
Como Citar
AWAD, Kassem Ubinski; CARDOSO, Luciano Santos; BUSSADOR, Alessandra.
NoSQL e Segurança: Um estudo de análise para prevenção de injeção em bancos de dados NoSQL. In: CONGRESSO LATINO-AMERICANO DE SOFTWARE LIVRE E TECNOLOGIAS ABERTAS (LATINOWARE), 21. , 2024, Foz do Iguaçu/PR.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2024
.
p. 464-467.
DOI: https://doi.org/10.5753/latinoware.2024.245334.