elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Tip para inyecciones en Mongo DB
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Tip para inyecciones en Mongo DB  (Leído 1,180 veces)
MichBukana

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Tip para inyecciones en Mongo DB
« en: 17 Septiembre 2014, 08:34 »

En auditorías donde nos encontramos ante bases de datos NOSQL como puede ser Mongo DB uno de los problemas con los que nos solemos encontrar al igual que con bases de datos SQL es el filtrado de los parámetros enviados, este filtrado con la idea de combatir inyecciones se suele centrar en el remplazo o escapado de caracteres como las comillas simples o las dobles y las backslash, pero como veremos en este artículo a veces cuando nos encontramos ante ciertas situaciones es posible sin necesidad de escapar los caracteres entre los que se encuentra enjaulado el parámetro existe posibilidad de obtener todos los resultados de una colección.

En el ejemplo siguiente, si se estuviesen filtrando caracteres como las comillas simples o las dobles y las backslash no podríamos inyectar otra instrucción

{ "ip" : " Parámetro_enviado_por_GET "}


Sin embargo si nos encontrásemos con un escenario como el siguiente que aun no siendo tan común es posible, no sería necesario escapar los caracteres anteriormente mencionados para poder armar una buena en la auditoría por ejemplo listando todos los resultados de la colección.


{ "ip" : { $regex: ' Parámetro_enviado_por_GET ', $options: 'i' }}

Y es que como veremos a continuación, basta con añadir dos caracteres que raramente son tenidos en cuenta a la hora de filtrar los datos de entrada a la aplicación


Así de sencillo dos puntos o cualquier otro carácter y un asterisco y como se aprecia nos devuelven todos los resultados de la colección, en este caso 50, así que ya sabéis chavales añadid un caracter cualquiera y un asterisco a vuestros diccionarios de inyecciones que os pueden dar una grata sorpresa en vuestras auditorías, a mí me la dio, ya que me devolvieron todos los usuarios y sus datos de la colección ordenaditos en una tabla, que más se puede pedir.


Fuente: http://code-disaster.blogspot.com.es/
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sobre inyecciones en EXE's y DLL « 1 2 3 4 »
Programación Visual Basic
Martinss 33 6,051 Último mensaje 18 Junio 2006, 21:03
por Eternal Idol
Google Dork para inyecciones SQL
Nivel Web
juh 1 35,006 Último mensaje 20 Septiembre 2010, 07:28
por juh
¿que leer para comprender apihooking e inyecciones?
ASM
SuperNovato 2 2,155 Último mensaje 6 Diciembre 2010, 17:21
por SuperNovato
Inyecciones en inyecciones SQL
Nivel Web
MichBukana 1 1,680 Último mensaje 6 Octubre 2013, 00:08
por Stakewinner00
mongoodb mongo
Desarrollo Web
Beginner Web 1 313 Último mensaje 21 Junio 2020, 12:54
por Tryptophan
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines