`

quguilai

浏览: 84598 次
性别:
来自: 北京

最近访客更多访客>>

happinesss

IT_fang

mr_vittor

2326653787

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

bzq19881115：刚调试了下，很好！最近在学习swt 给份API 谢谢
SWT 滚动条
xgj1988： ...
ant macrodef example
yajie：现在的suspend(),stop(),resume(),d ...
java Thread

mongodb 注入攻防

博客分类：

安全

阅读更多

1，数组注入

此时的攻击利用了php可以传递数组参数的一个特性。

当传入的url为：http://127.0.0.1/2.php?username=test&password=test

执行了语句：

db.test.find({username:'test',password:'test'});

如果此时传入的url如下:

http://127.0.0.1/2.php?username[xx]=test&password=test

则$username就是一个数组，也就相当于执行了php语句：

$data = array(

'username'=>array('xx'=>'test'),

'password'=>'test');

http://127.0.0.1/2.php?username[$ne]=test&password[$ne]=test

db.test.find({username:{'$ne':'test'},password:{'$ne':'test'}});

防御

1，不般正常情况不会有mongodb注入，检查时如有数组作为参数传入，则报警

2，mongo语句中有注释符合，则报警

分享到：

安全文档 | 同源策略

2015-08-22 17:43
浏览 1711
评论(0)
分类:行业应用
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

simpleLogin:Mongodb 注入测试: 简单登录 Mongodb 注入测试

Mongodb注入攻击: 关于mongodb的基本安装运行操作以及php操作mongodb，请参考我以前的文章php下操作mongodb的帖子国内已经有了，但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结，...

Linux安装mongodb客户端: sudo vim /etc/yum.repos.d/mongodb-org-4.2.repo 写入: [mongodb-org-4.2] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.2/x86_64/ gpgcheck=1 enabled=1 gpg...

MongoDB笔记.docx: 一、MongoDB简介 3 二、MongoDB结构 3 二、MongoDB 数据库关系型（这里并不是值关系型数据库的关系） 3 1、MongoDB一对一关系型 3 2、MongoDB一对多关系型 4 3、MongoDB多对多关系型 4 三、创建数据库（mongodb_test...

MongoDB应用设计模式: 资源名称：MongoDB应用设计模式内容简介：无论是在构建社交媒体网站，还是在开发一个仅在内部使用的企业应用程序，《MongoDB应用设计模式》展示了MongoDB需要解决的商业问题之间的连接。你将学到如何把MongoDB设计...

如何安装MongoDB 如何使用MongoDB: 本课程是一套关于MongoDB应用开发的实战性教程，名为《深入浅出MongoDB应用实战开发(基础、开发指南、系统管理、集群及系统架构）》，教程侧重于讲解MongoDB的常用特性及高级特性，从实际开发的角度出发对MongoDB...

nosqli：NoSql注入CLI工具，用于使用MongoDB查找易受攻击的网站: Nosqli当前支持Mongodb的nosql注入检测。它运行以下测试：基于错误-注入各种字符和有效载荷，在响应中搜索已知的Mongo错误布尔盲注入-注入具有正确/错误有效载荷的参数，并尝试确定是否存在注入定时注入-尝试在...

【BAT必备】MongoDB面试题: 【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT必备】MongoDB面试题【BAT...

MongoDB图形化管理工具 MongoDB Compass: MongoDB图形化管理工具 MongoDB Compass

mongoose-data-seed:使用猫鼬模型向mongodb注入数据: 使用猫鼬模型向mongodb注入数据安装 npm install --save mongoose-data-seed md-seed init md-seed init会要求您为md-seed init者选择一个文件夹。 md-seed init将创建seeders文件夹，生成md-seed-config.js并...

五、MongoDB 学习PPT: MongoDB 学习PPT

mongodb-linux-x86_64-4.0.18.tgz: mv mongodb-linux-x86_64-4.0.18 mongodb 3、进入 mongodb 目录创建目录 db 和 logs cd /usr/local/mongodb mkdir db mkdir logs 4、进入到 bin 目录下，编辑 mongodb.conf 文件，内容如下： dbpath=/usr/local/...

MongoDB4.2分片及副本集群搭建: MongoDB4.2分片及副本集群搭建 MongoDB集群 MongoDB分片 MongoDB副本 MongoDB副本集群

MongoDB教程基础入门: 教程名称：MongoDB教程基础入门课程目录：【】MongoDB教程基础入门-代码【】MongoDB教程基础入门01第一讲上【】MongoDB教程基础入门02第一讲下【】MongoDB教程基础入门03第二讲上【】MongoDB教程基础入门04第二讲...

基于MongoDB的日志系统Mongodb-Log.zip: mongodb-log 是一个基于MongoDB的Python日志系统。 MongoDB 的 Capped Collection是一个天生的日志系统，MongoDB自己的oplog就是用它来存储的，Capped Collection的特点是可以指定Collection的大小，当记录总大小...

MongoDB（mongodb-org-server_5.0.4_amd64.deb): MongoDB Community Server（mongodb-org-server_5.0.4_amd64.deb）适用于适用于Debian10 MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。 MongoDB是...

MongoDB 5.0.6 windows版本: MongoDB 5.0.6 windows版本

MongoDB（mongodb-src-r5.0.4.tar.gz）: MongoDB Community Server（mongodb-src-r5.0.4.tar.gz）源代码 MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。 MongoDB是一个介于关系数据库和非...

mongodb-v4.0: mongodb-win32-x86_64-2008plus-ssl-v4.0-latest-signed.msi

Global site tag (gtag.js) - Google Analytics