【Academy】 NoSQL injection NoSQL注入

NoSQL注入 NoSQL injection

  • 概述
  • 1.NoSQL数据库
  • 2.NoSQL注入的类型
  • 3.NoSQL语法注入
    • 3.1在MongoDB中检测语法注入
      • 3.1.1确定要处理的字符
      • 3.1.2确认条件行为
      • 3.1.3覆盖现有条件
  • 4.NoSQL操作符注入
    • 4.1提交查询运算符
    • 4.2在MongoDB中检测操作符注入
  • 5.利用语法注入提取数据
    • 5.1在MongoDB中提取数据
      • 5.1.1识别字段名称
  • 6.利用NoSQL操作符注入提取数据
    • 6.1在MongoDB中注入操作符
      • 6.1.1提取字段名称
      • 6.1.2使用运算符提取数据
  • 7.基于时间的注入
  • 8.防止NoSQL注入

概述

NoSQL注入是指攻击者能够干扰应用程序对NoSQL数据库的查询的操作。NoSQL注入可能使攻击者能够:

  • 绕过身份验证或保护机制。
  • 提取或编辑数据。
  • 造成拒绝服务。
  • 在服务器上执行代码。
    NoSQL数据库以不同于传统SQL关系表的格式存储和检索数据。它们使用广泛的查询语言,而不是像SQL这样的通用标准,并且具有更少的关系约束。

1.NoSQL数据库

NoSQL数据库以不同于传统SQL关系表的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此,它们通常比SQL具有更少的关系约束和一致性检查,并声称在可伸缩性,灵活性和性能方面具有显着的优势。
与SQL数据库一样,用户使用应用程序传递给数据库的查询与NoSQL数据库中的数据进行交互。然而,不同的NoSQL数据库使用广泛的查询语言,而不是像SQL(结构化查询语言)这样的通用标准。这可能是一种自定义查询语言,也可能是一种通用语言,如XMLJSON

NoSQL数据库有很多种。为了检测NoSQL数据库中的漏洞,它有助于理解模型框架和语言。
一些常见的NoSQL数据库类型包括:

  • 文档存储-这些存储在灵活的半结构化文档中的数据。它们通常使用JSON、BSON和XML等格式,并以API或查询语言进行查询。例如MongoDB和Couchbase。
  • 键值存储-这些存储数据的键值格式。每个数据字段都与一个唯一的键字符串相关联。根据唯一键检索值。例如Redis和Amazon DynamoDB。
  • 宽列存储-这些存储将相关数据组织到灵活的列族中,而不是传统的行中。例如Apache Cassandra和Apache HBase。
  • 图形数据库-这些数据库使用节点来存储数据实体,使用边来存储实体之间的关系。例如Neo4j和Amazon Neptune。

2.NoSQL注入的类型

有两种不同类型的NoSQL注入:

  • 语法注入-当您可以打破NoSQL查询语法时,会发生这种情况,使您能够注入自己的有效负载。该方法类似于SQL注入中使用的方法。然而,攻击的性质差异很大,因为NoSQL数据库使用一系列查询语言,查询语法类型和不同的数据结构。
  • 操作符注入-当您可以使用NoSQL查询操作符来操作查询时会发生这种情况。
    在本文中,将了解如何测试NoSQL漏洞,然后重点关注MongoDB中的漏洞,MongoDB是最流行的NoSQL数据库。

3.NoSQL语法注入

您可以通过尝试破坏查询语法来检测NoSQL注入漏洞。要做到这一点,系统地测试每个输入,提交模糊字符串和特殊字符,如果它们没有被应用程序充分清理或过滤,则会触发数据库错误或其他一些可检测的行为。
如果您知道目标数据库的API语言,请使用与该语言相关的特殊字符和模糊字符串。否则,使用各种模糊字符串来针对多个API语言。

3.1在MongoDB中检测语法注入

考虑一个以不同类别显示产品的购物应用程序。当用户选择Fizzy饮料类别时,他们的浏览器请求以下URL:

https://insecure-website.com/product/lookup?category=fizzy

这会导致应用程序发送一个JSON查询,从MongoDB数据库中的product集合中检索相关产品:

this.category == 'fizzy'

要测试输入是否易受攻击,请在category参数的值中提交一个模糊字符串。MongoDB的一个示例字符串是:

'"`{
;$Foo}
$Foo \xYZ

使用此模糊字符串构造以下攻击:

https://insecure-website.com/product/lookup?category='%22%60%7b%0d%0a%3b%24Foo%7d%0d%0a%24Foo%20%5cxYZ%00

如果这导致原始响应发生变化,则可能表明用户输入未被正确过滤或清理。

注意
NoSQL注入漏洞可能发生在各种上下文中,您需要相应地调整模糊字符串。否则,您可能只是触发验证错误,这意味着应用程序永远不会执行您的查询。
在本例中,我们通过URL注入模糊字符串,因此字符串是URL编码的。在某些应用程序中,您可能需要通过JSON属性注入负载。在这种情况下,此有效负载将变为

'\"`{\r;$Foo}\n$Foo \\xYZ\u0000

3.1.1确定要处理的字符

若要确定应用程序将哪些字符解释为语法,可以注入单个字符。例如,您可以提交',这将导致以下MongoDB查询:

this.category == '''

如果这导致原始响应发生变化,则可能表明'字符破坏了查询语法并导致语法错误。您可以通过在输入中提交有效的查询字符串来确认这一点,例如通过转义引号:

this.category == '\''

如果这不会导致语法错误,这可能意味着应用程序容易受到注入攻击。

3.1.2确认条件行为

检测到漏洞后,下一步是确定您是否可以使用NoSQL语法影响布尔条件。
为了测试这一点,发送两个请求,一个带有false条件,另一个带有true条件。例如,你可以使用条件语句' && 0 && 'x' && 1 && 'x如下:

https://insecure-website.com/product/lookup?category=fizzy'+%26%26+0+%26%26+'x
https://insecure-website.com/product/lookup?category=fizzy'+%26%26+1+%26%26+'x

如果应用程序的行为不同,这表明false条件会影响查询逻辑,而true条件则不会。这表明注入这种语法会影响服务器端查询。

3.1.3覆盖现有条件

既然您已经确定可以影响布尔条件,您就可以尝试覆盖现有条件来利用此漏洞。例如,您可以注入一个始终计算为true的JavaScript条件,例如'||1||'

https://insecure-website.com/product/lookup?category=fizzy%27%7c%7c%31%7c%7c%27

这将导致以下MongoDB查询:

this.category == 'fizzy'||'1'=='1'

由于注入的条件始终为true,因此修改后的查询将返回所有项。这使您能够查看任何类别中的所有产品,包括隐藏或未知类别。
警告
在向NoSQL查询中注入一个总是计算为true的条件时要小心。虽然这在您注入的初始上下文中可能是无害的,但应用程序在多个不同的查询中使用来自单个请求的数据是很常见的。例如,如果应用程序在更新或删除数据时使用它,这可能会导致意外的数据丢失。
也可以在类别值后添加空字符。MongoDB可能会忽略空字符之后的所有字符。这意味着MongoDB查询上的任何附加条件都将被忽略。例如,查询可能有一个额外的this.released限制:

this.category == 'fizzy' && this.released == 1

限制this.released == 1用于仅显示已发布的产品。对于未发布的产品,大概是this.released == 0
在这种情况下,攻击者可以构造如下攻击:

https://insecure-website.com/product/lookup?category=fizzy'%00

这将导致以下NoSQL查询:

this.category == 'fizzy'\u0000' && this.released == 1

如果MongoDB忽略空字符之后的所有字符,这就取消了将released字段设置为1的要求。因此,将显示fizzy类别中的所有产品,包括未发布的产品。

4.NoSQL操作符注入

NoSQL数据库通常使用查询运算符,这些运算符提供了指定数据必须满足的条件以包含在查询结果中的方法。MongoDB查询操作符的示例包括:

  • $where -匹配满足JavaScript表达式的文档。
  • $ne -匹配所有不等于指定值的值。
  • $in -匹配数组中指定的所有值。
  • $regex -检查值与指定正则表达式匹配的文档。
    您可以注入查询运算符来操作NoSQL查询。为此,系统地将不同的操作符提交到一系列用户输入中,然后查看错误消息或其他更改的响应。

4.1提交查询运算符

在JSON消息中,可以将查询运算符作为嵌套对象插入。例如,{"username":"wiener"}变为{"username":{"$ne":"invalid"}}
对于基于URL的输入,可以通过URL参数插入查询运算符。例如,username=wiener变为username[$ne]=invalid。如果这不起作用,您可以尝试以下操作:

  • 将请求方法从GET转换为POST
  • Content-Type标题更改为application/json
  • 将JSON添加到消息体。
  • 在JSON中注入查询运算符。

注意
您可以使用Content Type Converter扩展来自动转换请求方法,并将URL编码的POST请求更改为JSON。

4.2在MongoDB中检测操作符注入

考虑一个易受攻击的应用程序,它在POST请求的正文中接受用户名和密码:

{"username":"wiener","password":"peter"}

使用一系列运算符测试每个输入。例如,要测试用户名输入是否处理查询运算符,您可以尝试以下注入:

{"username":{"$ne":"invalid"},"password":{"peter"}}

如果应用了$ne运算符,则会查询用户名不等于invalid的所有用户。
如果用户名和密码输入都进行了处理,则可以使用以下有效负载绕过身份验证:

{"username":{"$ne":"invalid"},"password":{"$ne":"invalid"}}

此查询返回用户名和密码均不等于invalid的所有登录凭据。因此,您将作为集合中的第一个用户登录到应用程序。
要定位一个帐户,您可以构建一个有效负载,其中包括一个已知的用户名,或一个您猜测的用户名。举例来说:

{"username":{"$in":["admin","administrator","superadmin"]},"password":{"$ne":""}}

5.利用语法注入提取数据

在许多NoSQL数据库中,一些查询运算符或函数可以运行有限的JavaScript代码,例如MongoDB的$where运算符和mapReduce()函数。这意味着,如果易受攻击的应用程序使用这些运算符或函数,数据库可能会将JavaScript作为查询的一部分进行评估。因此,您可以使用JavaScript函数从数据库中提取数据。

5.1在MongoDB中提取数据

考虑一个易受攻击的应用程序,它允许用户查找其他注册用户名并显示其角色。这会触发对URL的请求:

https://insecure-website.com/user/lookup?username=admin

这将导致以下对users集合的NoSQL查询:

{"$where":"this.username == 'admin'"}

由于查询使用$where运算符,因此可以尝试将JavaScript函数注入此查询,以便返回敏感数据。例如,您可以发送以下payload:

admin' && this.password[0] == 'a' || 'a'=='b

这将返回用户密码字符串的第一个字符,使您能够逐个字符地提取密码。

您还可以使用JavaScript match()函数提取信息。例如,以下有效负载使您能够识别密码是否包含数字:

admin' && this.password.match(/\d/) || 'a'=='b

5.1.1识别字段名称

由于MongoDB处理的是不需要固定模式的半结构化数据,因此在使用JavaScript注入提取数据之前,您可能需要识别集合中的有效字段。

例如,要识别MongoDB数据库是否包含password字段,您可以提交以下有效负载:

https://insecure-website.com/user/lookup?username=admin'+%26%26+this.password!%3d'

为现有字段和不存在的字段再次发送有效负载。在本例中,您知道username字段存在,因此可以发送以下有效负载:

admin' && this.username!=' 
admin' && this.foo!='

如果password字段存在,您会期望响应与现有字段(username)的响应相同,但与不存在的字段(foo)的响应不同。

如果你想测试不同的字段名,你可以执行字典攻击,通过使用一个单词列表来循环不同的潜在字段名。

注意

您也可以使用NoSQL操作符注入来逐个字符提取字段名称。这使您能够识别字段名称,而无需猜测或执行字典攻击。

6.利用NoSQL操作符注入提取数据

即使原始查询没有使用任何使您能够运行任意JavaScript的运算符,您也可以自己注入这些运算符之一。然后,您可以使用布尔条件来确定应用程序是否执行通过此操作符注入的任何JavaScript。

6.1在MongoDB中注入操作符

考虑一个易受攻击的应用程序,它在POST请求的正文中接受用户名和密码:

{"username":"wiener","password":"peter"}

要测试是否可以注入操作符,可以尝试添加$where操作符作为附加参数,然后发送一个条件计算为false的请求,另一个条件计算为true的请求。例如:

{"username":"wiener","password":"peter", "$where":"0"}
{"username":"wiener","password":"peter", "$where":"1"}

如果响应之间存在差异,则这可能指示正在操作$where子句中的JavaScript表达式。

6.1.1提取字段名称

如果您已经注入了一个操作符,使您能够运行JavaScript,您可以使用keys()方法来提取数据字段的名称。例如,您可以提交以下payload:

"$where":"Object.keys(this)[0].match('^.{0}a.*')"

这将检查用户对象中的第一个数据字段,并返回字段名称的第一个字符。这使您能够逐个字符提取字段名称。

6.1.2使用运算符提取数据

您也可以使用无法运行JavaScript的运算符提取数据。例如,您可以使用$regex运算符逐个字符地提取数据。

考虑一个易受攻击的应用程序,它在POST请求的主体中接受用户名和密码。例如:

{"username":"myuser","password":"mypass"}

你可以从测试$regex操作符是否被处理开始,如下所示:

{"username":"admin","password":{"$regex":"^.*"}}

如果此请求的响应与您提交错误密码时收到的响应不同,则表明应用程序可能存在漏洞。您可以使用$regex操作符逐个字符提取数据。例如,以下有效负载检查密码是否以a开头:

{"username":"admin","password":{"$regex":"^a*"}}

7.基于时间的注入

有时,触发数据库错误不会导致应用程序响应的差异。在这种情况下,您仍然可以通过使用JavaScript注入触发条件时间延迟来检测和利用该漏洞。

执行基于时间的NoSQL注入:

  • 多次加载页面以确定基线加载时间。
  • 在输入中插入一个基于定时的有效负载。基于定时的有效载荷在执行时引起响应中的故意延迟。例如,{"$where": "sleep(5000)"}在成功注入时造成5000 ms的故意延迟。
  • 确定响应是否加载得更慢。这表明注射成功。

如果密码以字母a开头,则以下基于定时的有效载荷将触发时间延迟:

admin'+function(x){var waitTill = new Date(new Date().getTime() + 5000);while((x.password[0]==="a") && waitTill > new Date()){};}(this)+'
admin'+function(x){if(x.password[0]==="a"){sleep(5000)};}(this)+'

8.防止NoSQL注入

防止NoSQL注入攻击的适当方法取决于所使用的特定NoSQL技术。因此,建议您阅读所选NoSQL数据库的安全文档。也就是说,以下广泛的指导方针也将有所帮助:

  • 使用可接受字符的允许列表清理和验证用户输入。
  • 使用参数化查询插入用户输入,而不是将用户输入直接连接到查询中。
  • 要防止操作符注入,请应用接受键的allowlist。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/858266.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

02_ESP32+MicroPython 点亮LED灯

书接第1篇《01_ESP32 MicroPython开发环境搭建_eps32开发板-CSDN博客》 想要让一个引脚输出高电平,只需要找到对应的GPIO然后通过on()或者value(1)操作就可以,同理如果想要输出低电平让LED灯灭,只需要调用off()或者value(0)就行。 一、点亮…

【ACM出版】2024人工智能与自然语言处理国际学术会议(AINLP 2024,7月19-21)

2024人工智能与自然语言处理国际学术会议(AINLP 2024)将于2024年7月19-21日在中国珠海召开,该会议作为第四届人工智能、自动化与高性能计算国际会议(AIAHPC 2024)分会场召开。 本次会议主要围绕“人工智能与自然语言处…

【网络安全的神秘世界】SQL注入漏洞

🌝博客主页:泥菩萨 💖专栏:Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具 本章知识使用的靶场:DVWA 一、漏洞简介 SQL:结构化查询语言,是一种特殊的编程语言&#…

Android中webview中本地加载网页,jquery发送ajax请求一直报error的解决办法

webview初始化代码 private void initWebView() {webView.setWebViewClient(webClient);webView.setWebChromeClient(webChromeClient);WebSettings webSettings webView.getSettings();// 让WebView能够执行javaScriptwebSettings.setJavaScriptEnabled(true);// 让JavaScri…

开关阀(2):专业名词解释

DEFINED TERMS / ABBREVIATIONS / REFERENCES 定义术语/缩写/引用 阀门术语及缩写 ESV——EMERGENCY SHUTDOWN VALVE 紧急关断阀 QEV——Quick-Exhaust Valve 快排阀 OFV——ON/OFF VALVES 开关阀 EBDV——Emergency Blow-Down Valve 紧急放…

智能风控(原理、算法与工程实践)项目一

本文介绍该书第一章的项目:运用CART树进行规则挖掘,具体代码如下 #!/usr/bin/env python # coding: utf-8 # In[1]: import pandas as pd import numpy as np import os # In[2]: data pd.read_excel( ./data_for_tree.xlsx) # In[3]: data.h…

【LinuxC语言】阻塞、回调与轮询快速理解

文章目录 前言阻塞阻塞的基本概念阻塞函数非阻塞函数区别回调轮询总结前言 在Linux C语言编程中,阻塞、回调和轮询是三种常见的处理输入/输出(I/O)的方式。这些方法在处理网络通信、多线程编程和套接字编程等场景中都有广泛的应用。理解这三种方法的工作原理和使用场景,对…

《三国:谋定天下》成为了SLG游戏现象级的成功案例

原标题:《三国:谋定天下》引领SLG游戏新潮流,B站股价五个飙升了30% 易采游戏网6月23日:B站作为年轻人喜爱的文化社区和视频平台,再次用一款新的游戏证明了其在游戏发行领域的独到眼光与强大实力。最近大火的策略角色扮…

Linux简单使用——配置仓库

虚拟机和Xshell连接 在虚拟机上打开终端查看IP 在Xshell上建立会话 输入ssh root192.168.231.123 防火墙关闭 、 重启计算机命令 删除文件 然后ls查看 清除之前的垃圾 最后做一下命令缓存

Java程序之简单“记事本”

要求:如下图所示,记事本具有新建、打开文本、保存、关闭等功能。 算法思路: 这是一个使用Java Swing库创建的简单文本编辑器。它包含一个菜单栏,其中包含“文件”菜单以及四个子菜单项:“新建”、“打开”、“保存”和…

修复漏洞Windows 2012 Server R2(CVE-2016-2183)、(CVE-2015-2808)、(CVE-2013-2566)

修复漏洞 漏洞风险等级评定标准主机风险等级评定标准漏洞概括利用注册表修复漏洞查看修复后的漏洞漏洞风险等级评定标准 危险程度危险值区域危险程度说明高7 <=漏洞风险值<= 10攻击者可以远程执行任意命令或者代码,或对系统进行远程拒绝服务攻击。中4 <=漏洞风险值&l…

STM32CubeMX 创建 MDK 工程

STM32CubeMX 创建 MDK 工程 MDK (Keil uVision) MDK (Keil uVision) 是 Arm 公司开发的一款集成开发环境 (IDE)&#xff0c;专门用于 Arm 架构的嵌入式系统开发。它提供了全面的功能&#xff0c;包括&#xff1a; 代码编辑器&#xff0c;支持语法高亮、代码补全和错误检测调试…

【web1】标签,css,js

文章目录 1.标签&#xff1a;input1.1 html&#xff1a;HTML&#xff08;用于创建网页结构&#xff09;&#xff0c;CSS&#xff08;对页面进行美化&#xff09;&#xff0c;JavaScript&#xff08;用于与用户交互&#xff09;1.2 文本标签&#xff1a;字体属性1.3 a标签&#…

数据科学速查表

Data Science Cheat Sheets | Data Analysis Reference Guides | DataCamp

【软件测试】认识测试

文章目录 1.什么是测试2.软件测试和开发的区别3.优秀的测试人员需要具备的素质 1.什么是测试 软件测试就是验证软件产品特性是否满足用户的需求 产品特性&#xff1a; 功能性能界面易用性 2.软件测试和开发的区别 工作内容 开发以编码为主&#xff0c;而测试以测试为主&…

力扣SQL50 查询近30天活跃用户数 datediff(日期1,日期2)

Problem: 1141. 查询近30天活跃用户数 &#x1f468;‍&#x1f3eb; 参考题解 -- 选择活动日期作为天数&#xff0c;计算每天的唯一活跃用户数 select activity_date as day, count(distinct user_id) as active_users from activity -- 从2019年7月27日开始的30天内 where …

【database3】oracle:数据交换/存储/收集

文章目录 1.oracle安装&#xff1a;swap&#xff0c;dd1.1 创建swap交换区&#xff1a;grep MemTotal /proc/meminfo &#xff08;安装Oracle物理内存要求1024MB以上&#xff09;&#xff0c;grep SwapTotal /proc/meminfo1.2 安装依赖包及改系统核心参数&#xff1a;关闭一些系…

RepVGG论文阅读笔记

目录 RepVGG: Making VGG-style ConvNets Great Again摘要INTRODUCTION—简介RepVGG BlockModel Re-parameterization -- 模型重参数化融合Conv2d和BN&#xff0c;将三个分支上的卷积算子和BN算子都转化为卷积算子&#xff08;包括卷积核和偏置&#xff09;多分支融合&#xff…

Vue elementui表格

去除表头 <el-table:data"tableData"stripestyle"width: 100%":cell-style"{ text-align: justify-all }":show-header"false"></el-table>合并 <template><div class"elife-container"><el-ro…

医学记录 --- 腹泻

逻辑图地址 症状 每天3次 连续超过2天 病因 饮食不卫生 医治(药材&#xff0c;药量) 首先要补充大量的液体&#xff0c;以免造成身体水电解质絮乱和脱水。可以适当食用米汤、果汁、酸奶、稀饭等流质食物&#xff0c;也可以煮苹果水&#xff0c;补充钾离子。拉肚子期间尽量…