一个简单的MongoDB注入

最新推荐文章于 2024-04-18 19:48:50 发布
最新推荐文章于 2024-04-18 19:48:50 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: NOSQL 其他存储方式 文章标签: mongodb nosql 安全相关 sql 数据库 web开发

在关系型数据库时代,SQL注入攻防几乎成了每一个Web开发者的必修课,很多NoSQL的支持者称NoSQL的同时也就No SQL注入了。其实不然,下面就是一个利用GET参数判断不严格进行的MongoDB注入,希望能够引起大家大家在安全方面的重视。


使用SQL数据库存储用户名密码的系统,我们检测用户名与密码的过程可能是这样的:

mysql_query("SELECT * FROM user WHERE username=" . $_GET['username'] . ", AND passwd=" . $_GET['passwd'])

我们使用MongoDB进行最简单的用户名与密码检测可能是这样的:

$collection->find(array( "username" => $_GET['username'], "passwd" => $_GET['passwd']));

在最普通的SQL注入中,我们可以构造下面这样的请求:

login.php?username=admin&passwd=abc OR 1 –

这个请求会形成这样的SQL语句:

SELECT * FROM user WHERE username=admin AND passwd=abc OR 1;

成功注入!

采用同理的方法,针对上面的MongoDB查询方式,你可以构造下面的请求:

login.php?username=admin&passwd[$ne]=1

这个请求会形成这样的MongoDB查询:

$collection->find(array( "username" => "admin", "passwd" => array("$ne" => 1)));

成功注入!

更多NoSQL安全相关的知识可以查看NoSQLFan的另一篇文章:《NoSQL安全攻防战


一直学习
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL手工注入MongoDB数据库
小千安全
01-28 2051
MongoDB语法跟其它数据库有所区别 具体参考:https://www.runoob.com/mongodb/mongodb-query.html 环境 墨者靶场 SQL手工注入漏洞测试(MongoDB数据库) 思路 题目代码给出了列名 如果语句这样写/new_list.php?id=1 order by 2 代码接收db.notice.findOne({‘id’:‘1 order by 2’}); return data; 并没有闭合,注入语句无法生效 想办法闭合语句,查看所有集合 注入语句 都是
mongoDB简单使用
WuF_Black的博客
08-26 117
Mongodb在java中的简单使用
mongodb数据库的查询语言是否可以被注入攻击
weixin_42581003的博客
01-11 224
MongoDB 使用的是基于文档的查询语言, 不存在类似 SQL 的字符串拼接的查询方式, 因此不会受到 SQL 注入攻击的影响。 然而,如果使用不当,依旧可能存在注入漏洞,比如使用不安全的字符串拼接方式来构造查询条件或者不对用户输入的数据进行过滤等等。 所以还是需要对代码进行严格的审查,保证安全性。 ...
万字总结,建议收藏慢慢看!数据库安全MongoDB渗透!
最新发布
2401_84010804的博客
04-18 1073
机会是留给有准备的人,大家在求职之前应该要明确自己的态度,熟悉求职流程,做好充分的准备,把一些可预见的事情做好。对于应届毕业生来说,校招更适合你们,因为绝大部分都不会有工作经验,企业也不会有工作经验的需求。同时,你也不需要伪造高大上的实战经验,以此让自己的简历能够脱颖而出,反倒会让面试官有所怀疑。你在大学时期应该明确自己的发展方向,如果你在大一就确定你以后想成为Java工程师,那就不要花太多的时间去学习其他的技术语言,高数之类的,不如好好想着如何夯实Java基础。请转发本文支持一下。
Mongodb注入
acepanhuan的博客
02-13 1145
Mongodb注入
MongoDB数据库注入-墨者学院(SQL手工注入漏洞测试(MongoDB数据库))
T1ngSh0w的博客
09-05 1462
MongoDB数据库注入-墨者学院-SQL手工注入漏洞测试(MongoDB数据库)详细讲解
SQL注入(三)Oracle、Mongodb注入
m0_63917373的博客
10-04 587
Oracle、Mongodb注入 墨者
解决AppScan扫描的问题SQL注入/XSS攻击
yangzjchn的博客
04-24 7876
客户使用IBM的安全漏洞扫描工具AppScan扫出来一堆问题,如SQL盲注、绑定 MongoDB NoSQL 注入、跨站点脚本编制、已解密的登录请求、跨站点请求伪造、链接注入(便于跨站请求伪造)、通过框架钓鱼等等。 参考链接: 防止SQL注入和XSS攻击filter 防止常见XSS 过滤 SQL注入 JAVA过滤器filter ...
mongoDB简单使用
李守宏
11-30 3152
Mongo是一个高性能,开源,无模式的文档型数据库,它在许多场景下可用于替代传统的关系型数据库或键/值存储方式。Mongo使用C++开发,提供了以下功能:◆面向集合的存储:适合存储对象及JSON形式的数据。◆动态查询:Mongo支持丰富的查询表达式。查询指令使用JSON形式的标记,可轻易查询文档中内嵌的对象及数组。◆完整的索引支持:包括文档内嵌对象及数组。Mongo的查询优化器会分析查询表达式,并
nosqli:NoSql注入CLI工具,用于使用MongoDB查找易受攻击的网站
02-04
我想要一个更好的nosql注入工具,该工具易于使用,完全基于命令行且可配置。 为此,我开始研究nosqli-一种用Go编写的简单nosql注入工具。 它的目标是快速,准确和高度可用,并具有易于理解的命令行界面。 产品特点...
node_mongodb_injection_demo:通过express.js bodyParser和qs演示MongoDB注入一个简单的express-validator规则无法停止注入。 代码中还有一个反映的XSS
05-09
在这个场景中,我们看到一个简单的express-validator规则不足以防止这种攻击,这突出了在构建复杂应用时安全措施的重要性。 首先,我们来了解一下Express.js,这是一个流行的Node.js框架,用于构建Web服务器和API。...
安全测试工具AppScan8.0 P1
06-01
文件太大,只能分成六份上传 破解包在另外的上传文件中
Minos.zip 一个基于Tornado/mongodb/redis的社区系统
07-27
一个基于Tornado/mongodb/redis的社区系统。特点 简单:去除传统社区中多数不常用到的功能,保留精华。(这里向 http://zone.wooyun.org 学习) 高效: mongodb数据库设计合理,以空间换取时间,尽量减少数据库...
一个简单的车友会信息系统.zip
06-19
【标题】:“一个简单的车友会信息系统” 这个标题暗示了我们正在处理的是一个专门为车友设计的信息管理系统。车友会信息系统通常是为了方便车友之间的交流、活动组织、资源共享等目的而建立的。这类系统可能包括...
NodeJS+Express+MongoDB简单博客系统
10-26
这个项目是一个基于Node.js、Express.js框架和MongoDB数据库构建的简单博客系统。它为初学者提供了一个很好的平台,以了解和实践Web开发中的服务器端编程、路由处理以及数据库操作。 **Node.js** Node.js是一个开放...
MongDB学习笔记
JavaSupeMan的博客
07-05 449
是一种非关系型数据库,文档形式的存储 特点:文档数据库将数据以文档的形式存储,BSON格式,类似JSON,是一系列数据项的集合。每个数据项都有一个名称与对应的值,值既可以是简单的数据类型,如字符串/数字/日期等。也可以是复杂的类型。 ==优点:==数据结构要求不严格,表结构可变,不需要像关系型数据库一样需要预先定义表结构 ==缺点:==查询性能不高,缺乏统一的查询语法 应用场景:日志,web应用等 启动命令: mongod --dbpath D:\MongDB\data\db 创建管理员账号 4.Mo
sql截取字段的部分数据_科普基础 | 这可能是最全的SQL注入总结,不来看看吗
weixin_39628405的博客
12-05 433
0x01 SQL注入原理当客户端提交的数据未作处理或转义直接带入数据库,就造成了sql注入。攻击者通过构造不同的sql语句来实现对数据库的任意操作。0x02 SQL注入的分类按变量类型分:数字型和字符型按HTTP提交方式分:POST注入、GET注入和Cookie注入注入方式分:布尔注入、联合注入、多语句注入、报错注入、延时注入、内联注入数据库类型分:sql:oracle、...
nosql注入-mongodb
xdstuhq的博客
11-02 8661
mongodb数据库安全问题探究
Mongodb注入攻击
weixin_33881753的博客
03-08 2158
Th1nk · 2014/11/19 11:390x00 前言关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,文中涉及的攻击手法及其知识产权全部归原作者所有,我只是大自然的搬运工。未征得笔者同意,请勿转载。0x01...
简单实现mongodb多数据源
08-23
简单实现MongoDB多数据源,可以使用Spring Boot的MongoDB多数据源配置来实现。首先,在项目的配置文件中添加多个MongoDB数据源的配置,如下所示: ``` spring.data.mongodb.uri=第一个MongoDB数据源连接地址 spring.data.mongodb.other.uri=第二个MongoDB数据源连接地址 ``` 接下来,在代码中使用不同的MongoTemplate来操作不同的MongoDB库。可以通过在代码中注入不同的MongoTemplate对象来实现,如下所示: ```java @Autowired @Qualifier("mongoTemplate") private MongoTemplate mongoTemplate; @Autowired @Qualifier("otherMongoTemplate") private MongoTemplate otherMongoTemplate; ``` 以上代码中,`mongoTemplate`和`otherMongoTemplate`分别对应配置文件中的`mongoTemplate`和`otherMongoTemplate`,可以分别使用它们来操作不同的MongoDB库。 通过以上配置和代码实现,就可以简单实现MongoDB多数据源。使用不同的MongoTemplate来操作不同的MongoDB库,实现数据源的分离和管理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringBoot mongodb 多数据源配置](https://blog.csdn.net/lgk601abc/article/details/129442741)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值