بلاگ

Exploiting syntax injection to extract data, Exploiting NoSQL operator injection to extract data &...
Exploiting syntax injection to extract data, Exploiting NoSQL operator injection to extract data &...

در بسیاری از پایگاه‌های داده NoSQL، برخی از توابع یا query operators می‌توانند کد محدود JavaScript را اجرا کنند، مانند عملگر $where و تابع mapReduce() در MongoDB. این به این معناست که اگر یک برنامه آسیب‌پذیر از این operators یا توابع استفاده کند، database (پایگاه داده) ممکن است JavaScript را به عنوان بخشی از Query ارزیابی کند. بنابراین، ممکن است بتوانید از توابع JavaScript برای استخراج داده‌ها از database (پایگاه داده) استفاده کنید.

ادامه مطلب
Timing based injection, Preventing NoSQL injection & NoSQL databases, NoSQL database models
Timing based injection, Preventing NoSQL injection & NoSQL databases, NoSQL database models

گاهی اوقات ایجاد یک خطای پایگاه داده باعث تفاوت در پاسخ برنامه نمی‌شود. در این وضعیت، ممکن است هنوز بتوانید آسیب‌پذیری را با استفاده از جاوااسکریپت اینجکشن برای ایجاد تأخیر زمانی شرطی شناسایی و بهره‌برداری کنید.

ادامه مطلب
NoSQL operator injection & Exploiting syntax injection to...
NoSQL operator injection & Exploiting syntax injection to...

پایگاه‌های داده NoSQL اغلب از عملگرهای Query استفاده می‌کنند، که روش‌هایی برای تعیین شرایطی که داده‌ها باید برآورده کنند تا در نتیجه Query گنجانده شوند، ارائه می‌دهند.

ادامه مطلب