MongoDB安全 – PHP注入检测

1914154s50idnjzoomki64

什么是MongoDB

MongoDB 是一个基于分布式文件存储的数据库。MongoDB是个开源的NoSql数据库,其通过类似于JSON格式的数据存储,这使得它的结构就变得非常自由。通过MongoDB的查询语句就可以查询具体内容。

为什么使用MongoDB

其实大部分原因只是因为MongoDB可以快速查找出结果,它大概可以达到10亿/秒。当然MongoDB很流行的另外一个原因是在很多应用场景下,关系型数据库是不适合的。例如,使用到非结构化,半自动化和多种状态的数据的应用,或者对数据可扩展性要求高的。

我们正在为开源项目提供免费测试,如果你想测试下你的开源程序,请点击这里

案例分析

第一个例子,我们有一个PHP页面。主要实现通过变量id获取到该id的username和password:

mongodb_1

mongodb_2

从代码可以知道,数据库名是security,集合名是users。u_id 是通过GET请求传到后台,然后传入一个数组变量中。然后进入MongoDB的查询。我们试试通过数组传入运算符号。

mongodb_3

返回了数据库中的所有内容。看看我们传入的数据:

http://localhost/mongo/show.php?u_id[$ne]=2

传入后的MongoDB查询语句如下:

$qry= array(“id” => array(“$ne” => 2))

这样MongoDB就返回了除了id=2的其他所有数据。

让我们看看另一种情况,通过脚本实现同样的功能。不同的是,我们在后台用MongoDB中的findOne来查询结果。

我们先来快速看下MongoDB中的findOne方法:

db.collection.findOne(query, projection)

返回了所有满足查询条件的文档中的第一个文档。当我们想要查询id=2的文档,输入以下语句:

mongodb_4

我们看下代码:

mongodb_5

这里的关键就是破坏原有的查询语句,再重新执行一个查询语句。

能想象以下请求会在MongoDB中执行怎样的操作吗?

http://localhost/mongo/inject.php?u_name=dummy’});return{something:1,something:2}}//&u_pass=dummy

我们将原有的查询闭合,然后返回了一个想要的参数:

mongodb_6

注意报错信息中的username和password这两个字段,那么我们就把刚刚的注入语句改上username和password 参数。如下

mongodb_7

在MongoDB中,db.getName()方法可以查到数据库的名字,我们可以构造如下参数:

screenshot_8

mangodb中通过db.getCollectionNames()就能知道数据库中用的用户:

screenshot_9

目前为止我们得到了数据库名和集合名。现在需要做的就是获取到users集合中的数据,可以构造如下语句:

mongodb_10

我们可以用过改变参数来遍历整个数据库,例如改成 db.users.find()[2]:

mongodb_11

防御

第一个例子中的遍历是传递给一个数组的(array)。防御这种注入的话,我们总得先防止数组中的运算操作。因此,其中一种防御方法就是implode()方法:

mongodb_12

implode()函数返回由数组元素组合成的字符串。这样的话,我们就只能得到一个对应的结果。

mongodb_13

第二个例子可以使用addslashes()函数,这样的话攻击者就不能破坏查询语句了。同时,用正则表达式把一些特殊符号替换掉也是一个不错的选择。你可以使用如下正则:

$ u_name =的preg_replace('/ [^ A-Z0-9] / I','\',$ _GET ['u_name']);

mongodb_14

再尝试就没有报错信息了:

mongodb_15

参考

 

*参考来源:securelayer7,MottoIN小编翻译发布。转载请注明来自MottoIN

原创文章,作者:exp1oi7ss,如若转载,请注明出处:http://www.mottoin.com/94341.html

发表评论

登录后才能评论

评论列表(1条)

  • 一周信息安全干货分享【第85期】 – Guge's blog 2016年12月23日 下午4:43

    […] 7.MongoDB安全 – PHP注入攻击 […]

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code