如何避免 Mongo DB NoSQL 盲(睡眠)注入
[英]How to avoid Mongo DB NoSQL blind (sleep) injection
問題描述
在掃描我的應用程序以查找漏洞時,我遇到了一個高風險錯誤,即
盲目的MongoDB NoSQL注入
我已經檢查了通過執行掃描的工具發送到數據庫的確切請求,並在請求 GET 調用時發現它已添加到 GET 請求的行下方。
{"$where":"sleep(181000);return 1;"}
Scan 收到“超時”響應,表示注入的“睡眠”命令成功。
我需要幫助來修復這個漏洞。 有人可以幫我從這里出去嗎? 我只是想了解在連接到數據庫之前需要在代碼中添加什么來執行此檢查?
謝謝,安舒
1 個解決方案
解決方案1
1 已采納 2020-01-17 14:34:27
與 SQL 注入或任何其他類型的代碼注入類似,不要將不受信任的內容復制到將作為 MongoDB 查詢執行的字符串中。
您的應用程序中顯然有一些代碼天真地接受用戶輸入或其他一些內容並將其作為 MongoDB 查詢運行。
抱歉,很難給出更具體的答案,因為您沒有顯示該代碼,也沒有描述您打算執行的操作。
但通常,在您使用外部內容的每個地方,您都必須想象如果內容不包含您假設的格式,它會如何被濫用。
您必須改為驗證內容,因此它只能采用您想要的格式,否則如果內容無效,則拒絕該內容。
Mongo DB或任何nosql DB(Hbase,Cassandra)如何可擴展,並且比傳統RDBMS具有優勢?
[英]How Mongo DB or any nosql DB (Hbase, Cassandra) is scalable and having advantage over traditional RDBMS?
如何在Spring Data Mongo DB中聚合嵌套對象並避免PropertyReferenceException?
[英]How to aggregate in spring data mongo db a nested object and avoid a PropertyReferenceException?
哪種NoSQL DB(Azure表,Document DB,Mongo DB或其他)適合用於大數據的數據分析報告?
[英]Which NoSQL DB (Azure Tables, Document DB, Mongo DB or others) is suitable for data analysis reports of Big Data?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Mongo DB中NoSQL中的規范化
Mongo DB或任何nosql DB(Hbase,Cassandra)如何可擴展,並且比傳統RDBMS具有優勢?
mongodb服務器端盲注入?
如何在Spring Data Mongo DB中聚合嵌套對象並避免PropertyReferenceException?
如何避免火花 scala 中的多個 mongo db 連接
如何使用mongo / nosql方式創建模式
哪種NoSQL DB(Azure表,Document DB,Mongo DB或其他)適合用於大數據的數據分析報告?
避免 mongo db 中的空數組元素
如何設計 NoSQL DB 中的表/實體?
Python中的NoSql注入
相關標簽