Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision Les deux révisions suivantes | |||
web:injection_nosql [2016/02/02 10:40] arkinar créée |
web:injection_nosql [2016/04/15 10:05] arkinar |
||
---|---|---|---|
Ligne 11: | Ligne 11: | ||
- Oracle NoSQL | - Oracle NoSQL | ||
- | Néanmoins, l’apparition de ce nouveau moyen de stockage a fait émerger un type de faille innovant: La NOSQL injections. | + | Néanmoins, l’apparition de ce nouveau moyen de stockage a fait émerger un type de faille innovant: La NOSQL injection. |
Pour les NOSQL injections, la porte d’entrée passe par la création d’un tableau pour faire la requête, pour vous expliquer voici comment ça se passe avec MongoDB: | Pour les NOSQL injections, la porte d’entrée passe par la création d’un tableau pour faire la requête, pour vous expliquer voici comment ça se passe avec MongoDB: | ||
Ligne 33: | Ligne 33: | ||
Pour trouver le mot de passe administrateur nous utiliserons la fonction regex avec la méthode blind. | Pour trouver le mot de passe administrateur nous utiliserons la fonction regex avec la méthode blind. | ||
- | Sous MongoDB le "." représente n'importe quelle caractère. | + | Sous MongoDB le "." représente n'importe quel caractère. |
<code>username[$ne]=isileaks&userpassword[$regex]=.{1}</code> | <code>username[$ne]=isileaks&userpassword[$regex]=.{1}</code> |