Outils pour utilisateurs

Outils du site


web:injection_nosql

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision
Révision précédente
web:injection_nosql [2016/02/02 10:40]
arkinar créée
web:injection_nosql [2016/07/04 08:38] (Version actuelle)
Ligne 1: Ligne 1:
 **L'​Injection NOSQL** **L'​Injection NOSQL**
  
-Les bases de données NOSQL ont été créées pour répondre ​au problème ​de latence des SGBD relationnels ​sur de grosses bases de données.+Les bases de données NOSQL ont été créées pour répondre ​aux problèmes ​de latence des SGBD relationnelles ​sur de grosses bases.
  
 On peut en citer plusieurs telles que: On peut en citer plusieurs telles que:
Ligne 11: Ligne 11:
 - Oracle NoSQL - Oracle NoSQL
  
-Néanmoins, l’apparition de ce nouveau moyen de stockage a fait émerger un type de faille innovant: La NOSQL injections.+Néanmoins, l’apparition de ce nouveau moyen de stockage a fait émerger un type de faille innovant: La NOSQL injection.
  
 Pour les NOSQL injections, la porte d’entrée passe par la création d’un tableau pour faire la requête, pour vous expliquer voici comment ça se passe  avec MongoDB: Pour les NOSQL injections, la porte d’entrée passe par la création d’un tableau pour faire la requête, pour vous expliquer voici comment ça se passe  avec MongoDB:
Ligne 19: Ligne 19:
 **Exploitation:​** **Exploitation:​**
  
-Selon la documentation ​MongDB ​sur les opérateurs de requête "​$ne"​ correspond à  "​Différent de".+Selon la documentation ​MongoDB ​sur les opérateurs de requête "​$ne"​ correspond à  "​Différent de".
  
 Nous allons envoyer comme paramètre dans l'url : Nous allons envoyer comme paramètre dans l'url :
Ligne 33: Ligne 33:
 Pour trouver le mot de passe administrateur nous utiliserons la fonction regex avec la méthode blind. Pour trouver le mot de passe administrateur nous utiliserons la fonction regex avec la méthode blind.
  
-Sous MongoDB le "​."​ représente n'​importe ​quelle ​caractère.+Sous MongoDB le "​."​ représente n'​importe ​quel caractère.
  
 <​code>​username[$ne]=isileaks&​userpassword[$regex]=.{1}</​code>​ <​code>​username[$ne]=isileaks&​userpassword[$regex]=.{1}</​code>​
web/injection_nosql.1454409607.txt.gz · Dernière modification: 2016/07/04 08:37 (modification externe)