Attaques NoSQL : l'exemple de MongoDB

Magazine
Marque
MISC
Numéro
60
Mois de parution
mars 2012
Domaines


Résumé

Depuis 2009, le « mouvement » NoSQL est apparu afin de s'écarter du modèle relationnel des bases de données traditionnelles. Le terme NoSQL pour « Not Only SQL » représente bien cet état d'esprit. Nombreux de ses défenseurs affirment que les bases de données de type NoSQL sont plus sûres que les bases de données relationnelles. Typiquement, l'argument mis en avant est l'absence d'injection SQL sur ce type de bases. Bien que cet argument ne soit pas totalement faux, nous verrons dans cet article les différentes attaques possibles sur ce type de bases et qu'il reste du chemin à parcourir afin d'élever le niveau de sécurité des bases NoSQL.


1. Présentation des bases de données NoSQL

Les bases de données NoSQL sont apparues afin de proposer des alternatives aux bases de données relationnelles. D'une manière générale, l'idée du mouvement est de coller aux nouvelles tendances (Cloud Computing, etc.).

Par exemple, les bases de données relationnelles sont basées sur le concept ACID (Atomicité, Consistance, Isolation et Durabilité), tandis que les axes principaux des bases de données NoSQL sont haute disponibilité et partitionnement des données.

Ces deux aspects ont permis aux bases de données NoSQL de se démocratiser et d'être de plus en plus utilisées. De grands acteurs d'Internet, et notamment Google, Amazon, Linkedin et Facebook exploitent des bases de données de type NoSQL.

Voici quelques raisons qui poussent les entreprises ou les devéloppeurs à utiliser des bases de données NoSQL :

- La haute disponibilité permet d'avoir des données répliquées sur l'ensemble des bases de...

Cet article est réservé aux abonnés. Il vous reste 90% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Il n’y a plus une semaine sans qu’une grande entreprise ne révèle publiquement qu’elle a été victime d’un piratage informatique. Entreprises privées, institutions publiques, et même sociétés de services spécialisées dans la cybersécurité, aucun secteur n’est épargné. Des technologies en évolution et en augmentation perpétuelles, et la prolifération incessante d’équipements connectés (IoT) ne vont pas inverser la tendance, mais bien au contraire élargir la surface d’attaque et donc augmenter les piratages.

Introduction au dossier : Réalisez votre premier pentest pour sécuriser votre système

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Dans cette série d’articles, je vais vous faire une introduction au pentesting. Non, je ne ferai pas de vous des pirates informatiques. Nous resterons dans la légalité, et vous découvrirez ce qu’est un Ethical Hacker, quelqu’un qui teste le système informatique d’un client, avec son approbation et son consentement, pour l’aider à renforcer sa sécurité informatique.

Mise en pratique du pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article.

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.