安科网

mongodb 注入攻防

sunnnyduan

sunnnyduan

2015-08-22

关注 关注

1,数组注入

此时的攻击利用了php可以传递数组参数的一个特性。

当传入的url为:http://127.0.0.1/2.php?username=test&password=test

执行了语句:

db.test.find({username:'test',password:'test'});

如果此时传入的url如下:

http://127.0.0.1/2.php?username[xx]=test&password=test

则$username就是一个数组,也就相当于执行了php语句:

$data = array(

'username'=>array('xx'=>'test'),

'password'=>'test');

http://127.0.0.1/2.php?username[$ne]=test&password[$ne]=test

db.test.find({username:{'$ne':'test'},password:{'$ne':'test'}});

防御

1,不般正常情况不会有mongodb注入,检查时如有数组作为参数传入,则报警

2,mongo语句中有注释符合,则报警

test mongodb

sunnnyduan

sunnnyduan

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

MySQL外键约束的实例讲解

MySQL的外键约束是用来在两个表之间建立链接的,其中一个表发生变化,另外一个表也发生变化。从这个特点来看,它主要是为了保证表数据的一致性和完整性的。也就是说,只要外键的每个非空值出现在指定的主键中,这个外键的内容就是正确的。

敏敏张 2020-11-11

详解MySQL alter ignore 语法

今天上班的时候,业务方问了我这样一个问题:我有一个表,需要添加一个唯一的字段,但是目前这个字段存在一些重复值,有没有好的解决办法。于是我详细询问了一下他的需求,最终得知,这个过程中重复的数据只需要保存一条就可以了,可以容忍一部分数据丢失,而重复的字段恰好是

SCNUHB 2020-11-10

nginx配置proxy_pass中url末尾带/与不带/的区别详解

proxy_pass配置中url末尾带/时,nginx转发时,会将原uri去除location匹配表达式后的内容拼接在proxy_pass中url之后。到此这篇关于nginx配置proxy_pass中url末尾带/与不带/的区别详解的文章就介绍到这了,更多

小木兮子 2020-11-11

PHP dirname(__FILE__)原理及用法解析

即使这个文件被其他文件引用,__file__始终是它所在文件的完整路径,而不是引用它的那个文件完整路径。dirname;得到的是__FILE__所在文件的上一层目录名。_FILE_ 得到的就是完整路径 即 F:\Modoer_2.6_SC_UTF8\upl

wwwsurfphpseocom 2020-10-28

Yii中特殊行为ActionFilter的使用方法示例

'only' => ['test', 'test-one'], // 仅对 'test'、'test-one' 生效。Yii 中的 ActionFilter(过滤器)相当于 Laravel 中的 Middleware(中间件),beforeActio

WasteLand 2020-10-18

四种ABAP单元测试隔离(test isolation)技术

Hi friends, As far as I know test isolation is widely used in SAP internal to build unit test code, at least in my team. Test is

Cocolada 2020-11-12

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 2020-11-05

使用Java JUnit框架里的@Rule注解的用法举例

Suppose you need to repeatedly execute some test method in your unit test case, for example, you would like to test getPrice bas

shirleypaddy 2020-10-19

使用Java JUnit框架里的@SuiteClasses注解管理测试用例

Suppose I have four test cases in my project, the total methods to be tested: 7. Based on the blogRun only given sets of your un

qingmumu 2020-10-19

拥有此神技,脚本调试从此与 echo、set、test 说分手

为什么要为 Bash 脚本写单元测试?因为 Bash 脚本通常都是在执行一些与操作系统有关的操作,可能会对运行环境造成一些不可逆的操作,比如修改或者删除文件、升级系统中的软件包等。所以为了确保 Bash 脚本的安全可靠,在生产环境中部署之前一定需要做好足够

Testingba工作室 2020-09-15

Linux下 ls 命令的高级用法8例

在Linux下,ls这个命令大家肯定太熟悉了,良许相信只要是Linux工程师,每天都会离不开这个命令,而且一天会使用个几百次。但是,除了 ls -l 以外,你还知 ls 的哪些高级用法呢?良许今天为大家介绍 ls 命令的8种高级用法。在这里,-l 选项大家

周公周金桥 2020-09-13

GO语言 复合类型专题

对于一般的语言使用者来说 ,20% 的语言特性就能够满足 80% 的使用需求,剩下在使用中掌握。基于这一理论,Go 基础系列的文章不会刻意追求面面俱到,但该有知识点都会覆盖,目的是带你快跑赶上 Golang 这趟新车。前面我们学习过 Golang 中基础数

专注前端开发 2020-08-16

Pytest如何使用skip跳过执行测试

传入condition参数为判断条件,可以选择传入非必须参数reason;如果多个标签一起使用,满足其中一个跳过条件则会跳过该测试函数。跳过测试类其实和跳过测试方法一样,使用@pytest.mark.skip()和@pytest.mark.skipif()

emagtestage 2020-08-16

使用alwayson后如何收缩数据库日志的方法详解

在使用了alwayson后,主从库实时同步,原理是通过事务日志同步的,所以造成主数据库的事务日志一直在使用,而且无法收缩主数据库的事务日志。因为这些操作,并不能用语句来实现自动化,所以一直是手动处理的。可能人都是比较懒的吧(人只有懒,才能促进机械自动化,才

heniancheng 2020-08-15

Linux下如何高效切换目录?

Linux 下对于目录的切换,大家肯定会想到一个命令:cd 命令。这个是 Linux 下再基本不过的命令,如果这个命令都不知道的话,赶紧剖腹自尽去吧。如果只会 cd 命令的话,那么就需要不停地 cd ,直到你发疯。良许给大家介绍三个命令:pushd 、

hanjinixng00 2020-08-12

test

计算机底层: 点子电路,计算机只能识别两个数 0 1 硬件: 处理器, 运行内存, 主板, 外部存储设备, 输入输出设备。第二行: 告诉python解释器, 应该以utf-8编码来解释py文件,在python2中执行py文件中有中文时不加会报错。C

小方哥哥 2020-08-09

数据归一化 scikit-learn中的Scaler

X_train, X_test, y_train, y_test = train_test_split(X, y, test_size=0.2, random_state=666)

83327712 2020-07-30

机器学习基础

换句话说,我们的模型一定是要经过样本数据对其进行训练,才可以对未知数据进行预测的。可想不是的,如果模型对原先的数据进行预测,由于模型本来就是从该数据中获取的,所以预测的精度几乎会是百分之百。所以想要评估模型的好坏,需要使用一组新数据对模型进行评估。需要从网

卖小孩的咖啡 2020-07-21

ffmpeg coco2d-x lua test

TOLUA_API int lua_yffmpeg(lua_State* L);int argc = 0;bool ok = true;tolua_Error tolua_err;if (!tolua_isusertable(tolua_S, 1, &q

wqiaofujiang 2020-07-05

python-高阶函数(map,reduce,filter)

#如果我们有一万个列表,那么你只能把上面的逻辑定义成函数。#如果我们的需求变了,不是把列表中每个元素都平方,还有加1,减一,那么可以这样。#可以使用匿名函数。#上面就是map函数的功能,map得到的结果是可迭代对象。#合并,得一个合并的结果。#报错啊,re

chaigang 2020-07-05
sunnnyduan

sunnnyduan

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号