关于NOSQL注入及防御

原创 已于 2024-03-27 17:25:22 修改 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nosql #前端 #javascript

于 2022-06-17 20:45:29 首次发布
本文探讨了NOSQL数据库的注入问题,通过一个登录验证程序的例子展示了如何发生注入攻击,例如当用户名和密码参数被恶意构造为查询条件。为防止此类攻击,提出了三种防御措施:检查数据类型、进行类型转换以及编写完整的查询条件。这些方法有助于增强应用程序的安全性,防止数据被非法篡改或利用。

关于NOSQL注入及防御

  • 相比于sql数据库,nosql数据库同样存在注入问题
  • 举个攻击的例子,比如在登录的时候,一般需要一个用户名和密码
  • 下面是简化版本的后端验证程序,如下
    var mongoose = require('mongoose');
login = async function(ctx) {
    var username = ctx.request.body.username;
    var password = ctx.request.body.password;

    mongoose.findOne({
        username:username,
        password:password
    });
}
  • 看起来好像并没有问题,但是这里的username和password如果不是一个字符串会怎样
  • 那就会构成一个查询条件,比如前端传递的参数是
    {
    "username": "Joh",
    "password": {"$gt":0}
}
  • 这时候就会构成一条查询语句,密码长度大于0的数据
  • 这个本质上也是一种注入过程,本来是数据,现在变成了逻辑程序
  • 那么如何防御呢?这里也给出一些解决方案

NOSQL注入的防御

1 ) 检查数据类型

  • 检查数据类型,像是上面的password,一定是string类型的
  • 如果不是可以自行选择处理方式,比如下面的强制类型转换

2 ) 类型转换

  • 将参数直接强制转换成特定类型,就不会出现上面的问题
  • 这是防注入的最好的方案

3 ) 写完整条件

  • 将查询条件写完整,不让其存在注入漏洞的可能
  • 这是最后的底线
nosql注入初探
China_I_LOVE的博客
11-06 1221
​ 可能是非关系数据库没接触的原因,或者JavaScript不熟悉的原因,整个过程很吃力,除了前面的布尔型都可以理解,最后一个实验有点没搞懂,主要就是这个函数。以及为什么在GET请求这里能想到令牌重置参数可能在这里,以至于绕过邮箱检测。
PortSwigger NoSQL 注入
weixin_42451330的博客
01-16 1082
NoSQL 是一种非关系型数据库,适用于存储非结构化或半结构化数据,具有高扩展性和灵活性,但缺乏强一致性和复杂事务支持。NoSQL 注入是攻击者通过操纵 NoSQL 查询语法(如 JSON、BSON)或 API 调用,绕过验证或窃取数据。常见攻击方式包括语法注入、运算符注入JavaScript 注入防御措施包括输入验证、参数化查询、禁用危险功能、使用白名单、最小权限原则、ORM/ODM 工具、编码转义以及日志监控。通过这些方法,可以有效防止 NoSQL 注入,确保应用程序安全。
NoSQL注入攻击如何防范
abckingaa的博客
02-23 715
ORM Bee 互联网新时代的Java ORM框架,支持Sharding;支持多种关系型数据库,还支持NoSQL的Cassandra,Mongodb等;更快、更简单、更自动,开发速度快,运行快,更智能!如果攻击者输入 `username` 为 `{"$ne": null}`,这样就会找到所有用户,因为 `$ne` 操作符代表“不是”条件。以下在订单表中,本来想查某个用户的订单,就有可能被人查所有的用户订单。如何有效的防止,NoSQL注入攻击。可以看到,没有查询到记录。这样就有可能查出所有的用户。
NoSQL 注入
LYJ20010728的博客
09-17 2944
NoSQL 注入基本概念NoSQLMongoDBMemcachedRedisMongoDB 初步MongoDB 基础概念解析数据库(Database)文档(Document)集合(Collection)MongoDB 基础语法解析MongoDB 创建数据库MongoDB 创建集合MongoDB 插入文档MongoDB 更新文档update 方法save 方法MongoDB 查询文档MongoDB 与 RDBMS Where 语句的比较MongoDB AND 条件MongoDB OR 条件AND 和 OR 联
nosql注入
m0_68976043的博客
02-28 2077
关系型数据库 mysql oracle sqlserver非关系型数据库 key-value redis MongoDB(not only sql)
NoSQL注入防御:MongoDB操作符过滤.pdf
05-02
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
NoSQL注入的分析和缓解
01-27
同时,教育开发人员了解NoSQL注入的原理和防御措施,也是非常必要的。 总之,NoSQL注入虽然不同于SQL注入,但其危害同样严重。企业和开发者需要时刻保持警惕,采取有效的预防措施,确保NoSQL数据库的安全性,以免...
基于Python语言的NoSQL数据库注入攻击系统设计源码
10-03
该系统通过精心设计的攻击策略和防御机制,能够模拟NoSQL注入攻击的全过程,同时提供相应的防御方案,帮助安全研究者和数据库管理人员更加深入地了解此类攻击手段,从而提高数据库的安全防护能力。 系统中包含的12...
Nosql inject注入
god_Zeo的安全博客
11-28 1695
最近主要在看那个 YApi 的注入漏洞,也是一个 mongodb的注入 所以来写一下这个东西,其实现在越来越常见的Nosql注入
简述NoSQL注入
2401_83799022的博客
03-27 896
​ 说明,场景可能为更新用户信息,前端传递修改的手机号、年龄等,但是后端并未对需要更新的字段进行白名单过滤,此时如果攻击者增加。格式的查询的数据交互方式让参数拼接变得难度倍增,但是并不代表没有可能。的应用程序,这样查询会更为方便,但是也具有一定的安全风险,特别是配合。数据库的兴起,安全问题也伴随着呈现。语句拼接前端不可信参数,未进行合理的编码导致。等等,为的是实现更为复杂的查询操作,比如。等字段,导致数据库信息修改,权限提升等。不等于1的用户,转换成我们熟悉的。层暴露了一个未经过滤的接口,参数。
Papaya:简单的NoSQL注入工具,可通过正则表达式强行强制绕过登录表单并提取用户名和密码
02-02
番木瓜 Papaya是一种工具,用于测试基于MongoDB / NoSQL的Web应用程序是否容易受到POST登录表单上的基本nosql注入的攻击,包括密码和用户名提取的测试。 该攻击通过在密码和用户名上注入nosql的$ regex和$ eq运算符而起作用。 用法 python3 papaya.py TARGET_URL 测试漏洞 如果应用程序容易受到攻击,请在肯定响应中搜索唯一的字符串并将其设置为标识符 选择攻击 依存关系 pip install -r requirements.txt
NoSQLInjectionAttackDemo-master.zip
12-08
文件在 kali linux下安装运行
36 NoSQL 注入
最新发布
Li_Wisworth的博客
08-25 1153
它是一个开源项目,提供各种模块和插件,用于自动检测和利用 MongoDB、CouchDB、Redis 和 Cassandra 等各种数据库中的 NoSQL 注入漏洞。然而,它们也容易受到 SQL 注入攻击,攻击者可以利用这种攻击执行恶意 SQL 语句,获取敏感数据的访问权限,甚至控制数据库。然而,与其他数据库一样,Elasticsearch 也容易受到攻击,包括 NoSQL 注入。然而,它们也容易受到 NoSQL 注入攻击,这种攻击可能造成与 SQL 注入攻击类似的后果,包括数据窃取和应用程序入侵。
应用安全系列之四十七:NoSQL注入
jimmyleeee的专栏
04-29 1397
本文主要是介绍NoSQL注入的原理、危害和如何预防。
Nosql 注入从零到一
jklbnm12的博客
09-22 2895
Nosql 注入的简介 NoSQL 注入由于 NoSQL 本身的特性和传统的 SQL 注入有所区别。使用传统的SQL注入,攻击者利用不安全的用户输入来修改或替换应用程序发送到数据库引擎的 SQL 查询语句(或其他SQL语句)。 换句话说,SQL 注入使攻击者可以在数据库中 SQL 执行命令。 与关系数据库不同,NoSQL 数据库不使用通用查询语言。NoSQL 查询语法是特定于产品的,查询是使用应用程序的编程语言编写的:PHP,JavaScript,Python,Java 等。这意味着成功的注入使攻击者不仅可
MONGODB 的基础 NOSQL注入基础
m0_64180167的博客
11-22 2088
首先来学习一下nosql这里安装就不进行介绍 只记录一下让自己了解mongodb。
「 典型安全漏洞系列 」14.NoSQL注入漏洞详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-14 2568
NoSQL注入是一个漏洞,攻击者能够干扰应用程序对NoSQL数据库进行的查询。绕过身份验证或保护机制。提取或编辑数据。导致拒绝服务。在服务器上执行代码。
【Academy】 NoSQL 注入 ------ NoSQL injection
D-river博客
06-20 1437
NoSQL注入是指攻击者能够干扰应用程序对NoSQL数据库的查询的操作。NoSQL绕过身份验证或保护机制。提取或编辑数据。造成拒绝服务。在服务器上执行代码。NoSQL数据库以不同于传统SQL关系表的格式存储和检索数据。它们使用广泛的查询语言,而不是像SQL这样的通用标准,并且具有更少的关系约束。
NoSQL注入基础及思路
钟言的博客
04-01 2337
本篇介绍了NoSQL注入的基础以及思路,详细内容包含了、NoSQL 1、为什么使用NoSQL 2、RDBMS与NoSQL区别 3、NoSQL产品 4、NoSQL 数据库分类 -、MongoDB 1、认识MongoDB 2、MongoDB特性 3、MongoDB工作方式 4、MongoDB缺陷 5、MongoDB基本概念 数据库Database 7、文档Document 8、集合Collection 三、MongoDB基本操作 1、数据库操作 2、集合操作3、文档操作 4、Where语句比较四、Mon等内容
nosql注入
05-28
防御NoSQL注入的关键在于严格控制用户输入并正确构建查询语句。以下是一些有效的防御措施: 1. **参数化查询**:类似于SQL中的预处理语句,许多NoSQL数据库提供了参数化查询的支持。通过分离查询逻辑和用户输入,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wang's Blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值