问题标签 [nosql-injection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
mongodb - Golang MongoDB 驱动 NoSQL 注入
我想知道这个 golang 的 mongoDB 驱动程序是否容易受到注入攻击:
https://github.com/mongodb/mongo-go-driver
无法找到它的文档,或从包的内部工作中收集它。
它使用 bson.D 和 bson.M 内部映射类型进行过滤,因此清理参数和安全应该相当容易,只是想知道是否有人确定:
https://pkg.go.dev/go.mongodb.org/mongo-driver@v1.2.1/bson?tab=doc
例如,我们可以安全地做这样的事情吗?
谢谢!
validation - 验证输入以检测 MongoDB 中的恶意值
我正在从事一个具有易受攻击的 MongoDB Nosql 注入的项目。
如何在不破坏查询的情况下过滤“搜索”参数中的用户输入?
我试过了,但没有用。
security - QLDB/PartiQL 中是否可能存在 SQL 注入攻击
这个问题出现在代码审查中,参考了必须使用字符串插值 (C#) 构造的选择查询,我似乎无法以一种或另一种方式找到参考。例如,查询可能类似于:
由于在 WHERE 子句中使用了参数,我认为这无论如何都应该是安全的;但是,得到确认会很好。一些简单的尝试表明,即使尝试注入并且查询最终看起来像这样
Select * from SomeTable; SELECT * FROM SomeOtherTable Where IndexedField = "1"
引擎在尝试运行多个查询时仍然会出错。
node.js - Node.js/Mongoose API 上的 NOSQL 注入测试
我正在研究 NoSql 注入,所以我试图用邮递员破解我的数据库,看看是否有任何漏洞。我的请求使用参数来查询字段:
所以我试图将名称参数作为{"$ne": null}or传递{"$gt": ""},所以查询将是localhost:5000/api/users?name={"$ne": null}. 虽然我从该findOne方法得到的响应不为空,但它会返回一个空数组。这是否意味着我已经受到 NoSql 注入的保护并且不需要清理查询参数,或者我只是没有使用正确的值来执行注入?如果可以进行 nosql 注入,我还可以运行哪些其他测试来尝试正确检查?一如既往地感谢您的帮助。干杯。