图形数据库漏洞

Question

在基于SQL的数据库中是否存在类似于SQL注入的图形数据库(如果是特定的，特别是Neo4j v2.0 )的漏洞，以及在实现时如何克服这些漏洞？

Answer 1

与SQL一样，如果使用字符串连接，Cypher同样容易受到攻击。要避免Cypher参数的这种使用是至关重要的。

Answer 2

您尚未指定所使用的API和驱动程序。

如果您正在自己构建Cypher查询，请确保使用Cypher参数

{
  "query" : "MATCH (x {name: {startName}})-[r]-(friend) WHERE friend.name = {name} RETURN TYPE(r)",
  "params" : {
    "startName" : "I",
    "name" : "you"
  }
}

如果您使用一个驱动程序来构建您的Cypher查询，我想驱动程序将为您解决这个问题，但是您可能需要查看特定的文档。

Answer 3

Neo4j或其他NoSQL数据库系统目前没有已知的漏洞，但我想说的是，安全漏洞通常与与数据库系统一起工作的应用程序有关。我的意思是，Neo4j本身可以是安全的，但是secure或其他类似的东西与应用程序有关。

例如，如果您不签出用户输入是否是数组，攻击者可以通过NoSQL注入技术进行sql注入。更多信息：注入

另外，您应该确定服务器端的安全性，我的意思是您应该回答这些问题；Noe4j安装的方式正确吗？凭据是否安全，不受暴力/猜测攻击？以此类推。