Injection NoSQL.

L'injection NoSQL exploite les applications qui construisent des requêtes pour des bases documentaires ou clé-valeur (MongoDB, CouchDB, Elasticsearch) à partir d'entrées non fiables. Plutôt qu'injecter de la syntaxe SQL, l'attaquant manipule la structure JSON, des opérateurs comme $ne ou $gt, ou des fragments du langage de requête, pour s'authentifier sans identifiants, renvoyer des documents arbitraires ou déclencher l'évaluation JavaScript côté serveur quand le moteur le permet. Les variantes aveugles exfiltrent les données via un comportement booléen ou temporel. Les défenses incluent une validation stricte de schéma, le typage explicite des entrées attendues, le rejet des objets là où une chaîne est attendue, l'utilisation des constructeurs de requêtes du pilote avec opérateurs explicites et l'application du moindre privilège aux comptes de base.