Ruby China 的 Mongodb Hash 注入漏洞-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

Ruby China 的 Mongodb Hash 注入漏洞

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 04:41 PM

Chinahashmongodbruby注射抜け穴

今天在 Ruby China 上看见一个帖子，从下面的回复中发现是 Mongodb 的漏洞，然后顺便学习了下。漏洞详细介绍以用户登陆而言，需要先根据用户传过来的帐户名从数据库中找到这条记录，然后再验证密码。用户登陆流程一个登陆表单 input type= "text" name=

今天在 Ruby China 上看见一个帖子，从下面的回复中发现是 Mongodb 的漏洞，然后顺便学习了下。

漏洞详细介绍

以用户登陆而言，需要先根据用户传过来的帐户名从数据库中找到这条记录，然后再验证密码。

用户登陆流程

一个登陆表单

<span class="nt"><input> <span class="na">type=</span><span class="s">"text"</span> <span class="na">name=</span><span class="s">"session[account]"</span><span class="nt">></span>
<span class="nt"><input> <span class="na">type=</span><span class="s">"text"</span> <span class="na">name=</span><span class="s">"session[password]"</span><span class="nt">></span>
</span></span>

当提交后，服务端得到的数据是这样的（去除其它 token 等信息）。

<span class="p">{</span>
  <span class="s2">"session"</span> <span class="o">=></span> <span class="p">{</span>
    <span class="s2">"account"</span>  <span class="o">=></span> <span class="s2">"username"</span><span class="p">,</span>
    <span class="s2">"password"</span> <span class="o">=></span> <span class="s2">"password"</span>
  <span class="p">}</span>
<span class="p">}</span>

然后服务端通过帐户名从数据库中取得记录

<span class="no">User</span><span class="o">.</span><span class="n">find_by</span><span class="p">(</span><span class="ss">account</span><span class="p">:</span> <span class="n">params</span><span class="o">[</span><span class="ss">:session</span><span class="o">][</span><span class="ss">:account</span><span class="o">]</span><span class="p">)</span>
<span class="c1"># => User.find_by(account: "username")</span>

看起来很正常，但是问题就出现在这一步。

上面的查询语句转换成 Mongodb 查询语句是这样的

<span class="nx">db</span><span class="p">.</span><span class="nx">users</span><span class="p">.</span><span class="nx">find</span><span class="p">({</span> <span class="nx">account</span> <span class="o">:</span> <span class="nx">params</span><span class="p">[</span><span class="o">:</span><span class="nx">session</span><span class="p">][</span><span class="o">:</span><span class="nx">account</span><span class="p">]</span> <span class="p">}).</span><span class="nx">limit</span><span class="p">(</span><span class="mi">1</span><span class="p">)</span>

如果参数是普通的字符串，那么是没有问题的，但是如果它是一个 Hash 呢？

如果 params[:session][:account] 的值是 { "$ne" => "username" }，那么得到的 Mongodb 查询语句就是这样的

<span class="nx">db</span><span class="p">.</span><span class="nx">users</span><span class="p">.</span><span class="nx">find</span><span class="p">({</span> <span class="nx">account</span> <span class="o">:</span> <span class="p">{</span> <span class="nx">$ne</span> <span class="o">:</span> <span class="s2">"username"</span> <span class="p">}</span> <span class="p">}).</span><span class="nx">limit</span><span class="p">(</span><span class="mi">1</span><span class="p">)</span>

这段代码什么意思？找到所有 account 不等于 username 的记录。同样 $ne 可以换成其他 Mongodb 支持的操作，比如 $gt, $lt。username 也可以换成一串乱序字符串，这样就能得到用户集合中的所有记录。

注入

想让服务端得到的参数是 Hash 很简单，只需要手动修改一下表单就行了。

原表单

<span class="nt"><input> <span class="na">type=</span><span class="s">"text"</span> <span class="na">name=</span><span class="s">"session[account]"</span><span class="nt">></span>
</span>

修改后的表单

<span class="nt"><input> <span class="na">type=</span><span class="s">"text"</span> <span class="na">name=</span><span class="s">"session[account][$ne]"</span><span class="nt">></span>
</span>

这样，服务端得到的参数就是这个样子的。

<span class="p">{</span>
  <span class="s2">"session"</span> <span class="o">=></span> <span class="p">{</span>
    <span class="s2">"account"</span>  <span class="o">=></span> <span class="p">{</span>
      <span class="s2">"$ne"</span> <span class="o">=></span> <span class="s2">"username"</span>
    <span class="p">},</span>
    <span class="s2">"password"</span> <span class="o">=></span> <span class="s2">"password"</span>
  <span class="p">}</span>
<span class="p">}</span>

解决方法

将参数转化为字符串

Ruby China 的解决方法就是这种。

<span class="n">account</span> <span class="o">=</span> <span class="n">params</span><span class="o">[</span><span class="ss">:session</span><span class="o">][</span><span class="ss">:account</span><span class="o">].</span><span class="n">to_s</span>
<span class="no">User</span><span class="o">.</span><span class="n">find_by</span><span class="p">(</span><span class="ss">account</span><span class="p">:</span> <span class="n">account</span><span class="p">)</span>

Strong Parameters

Rails 4 开始提供了 Strong Parameters 用来对 params 参数进行过滤。基本语法是

<span class="k">def</span> <span class="nf">session_params</span>
  <span class="n">params</span><span class="o">.</span><span class="n">require</span><span class="p">(</span><span class="ss">:session</span><span class="p">)</span><span class="o">.</span><span class="n">permit</span><span class="p">(</span><span class="ss">:account</span><span class="p">,</span> <span class="ss">:password</span><span class="p">)</span>
<span class="k">end</span>

然后使用过滤后的数据进行查询数据库。

<span class="no">User</span><span class="o">.</span><span class="n">find_by</span><span class="p">(</span><span class="ss">account</span><span class="p">:</span> <span class="n">session_params</span><span class="o">[</span><span class="ss">:account</span><span class="o">]</span><span class="p">)</span>

Strong Parameters

Strong Parameters 是 Rails 4 中提供的用于过滤用户输入的机制，其核心的两个方法是

ActionController::Parameters#require
ActionController::Parameters#permit

require 用来获取参数中指定键的值

如果不存在则产生 ParameterMissing 异常

对于以下参数

<span class="p">{</span>
  <span class="s2">"session"</span> <span class="o">=></span> <span class="p">{</span>
    <span class="s2">"account"</span>  <span class="o">=></span> <span class="p">{</span>
      <span class="s2">"$ne"</span> <span class="o">=></span> <span class="s2">"username"</span>
    <span class="p">},</span>
    <span class="s2">"password"</span> <span class="o">=></span> <span class="s2">"password"</span>
  <span class="p">}</span>
<span class="p">}</span>

使用 params.require(:session) 后得到的结果是这样的

<span class="p">{</span>
  <span class="s2">"account"</span>  <span class="o">=></span> <span class="p">{</span>
    <span class="s2">"$ne"</span> <span class="o">=></span> <span class="s2">"username"</span>
  <span class="p">},</span>
  <span class="s2">"password"</span> <span class="o">=></span> <span class="s2">"password"</span>
<span class="p">}</span>

permit 用来对参数进行实际的过滤

对于 { "account" => "username", "password" => "password" }，使用 permit(:account, :password) 得到的结果还是原 Hash，因为该 Hash 中的两个键都被 permit 了，而使用 permit(:account) 得到的结果是 { "account" => "username" }，由于没有 permit :password，所以结果中 password 被过滤掉了。

如果是 { "account" => { "$ne" => "username" } } 的话，直接 permit(:account) 的结果是 nil。

如果需要保留多级参数，需要明确指出。

<span class="n">permit</span><span class="p">(</span><span class="ss">:password</span><span class="p">,</span> <span class="ss">account</span><span class="p">:</span> <span class="p">:</span><span class="vg">$ne</span><span class="p">)</span>
<span class="c1"># 或者多个键</span>
<span class="n">permit</span><span class="p">(</span><span class="ss">:password</span><span class="p">,</span> <span class="ss">account</span><span class="p">:</span> <span class="o">[</span> <span class="p">:</span><span class="vg">$ne</span><span class="p">,</span> <span class="p">:</span><span class="vg">$regexp</span> <span class="o">]</span><span class="p">)</span>

总结

这个漏洞对于普通的用户表单登陆没有多大影响，因为这里只是查找记录，然后验证密码，所以只会提示用户密码错误而已。但是对于 API 接口就有隐患了，API 接口是通过 token 而不是验证密码登陆的。
这件事让我更加了解了 Rails 4 中 Strong Parameters 的厉害之处！

本文出自：http://blog.sloger.info/, 原文地址：http://sloger.info/posts/mongodb-hash-injection-bugs, 感谢原作者分享。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

MySQLのストアドプロシージャとは何ですか？May 01, 2025 am 12:27 AM

ストアドプロシージャは、パフォーマンスを向上させ、複雑な操作を簡素化するためのMySQLのSQLステートメントを事前に拡大します。 1。パフォーマンスの改善：最初のコンピレーションの後、後続の呼び出しを再コンパイルする必要はありません。 2。セキュリティの改善：許可制御を通じてデータテーブルアクセスを制限します。 3.複雑な操作の簡素化：複数のSQLステートメントを組み合わせて、アプリケーションレイヤーロジックを簡素化します。

クエリキャッシュはMySQLでどのように機能しますか？May 01, 2025 am 12:26 AM

MySQLクエリキャッシュの実用的な原則は、選択クエリの結果を保存することであり、同じクエリが再度実行されると、キャッシュされた結果が直接返されます。 1）クエリキャッシュはデータベースの読み取りパフォーマンスを改善し、ハッシュ値を使用してキャッシュされた結果を見つけます。 2）単純な構成、mysql構成ファイルでquery_cache_typeとquery_cache_sizeを設定します。 3）SQL_NO_CACHEキーワードを使用して、特定のクエリのキャッシュを無効にします。 4）高周波更新環境では、クエリキャッシュがパフォーマンスボトルネックを引き起こし、パラメーターの監視と調整を通じて使用するために最適化する必要がある場合があります。

他のリレーショナルデータベースでMySQLを使用することの利点は何ですか？May 01, 2025 am 12:18 AM

MySQLがさまざまなプロジェクトで広く使用されている理由には、次のものがあります。1。複数のストレージエンジンをサポートする高性能とスケーラビリティ。 2。使いやすく、メンテナンス、シンプルな構成とリッチツール。 3。豊富なエコシステム、多数のコミュニティとサードパーティのツールサポートを魅了します。 4。複数のオペレーティングシステムに適したクロスプラットフォームサポート。

MySQLのデータベースアップグレードをどのように処理しますか？Apr 30, 2025 am 12:28 AM

MySQLデータベースをアップグレードする手順には次のものがあります。1。データベースをバックアップします。2。現在のMySQLサービスを停止します。3。MySQLの新しいバージョンをインストールします。アップグレードプロセス中に互換性の問題が必要であり、Perconatoolkitなどの高度なツールをテストと最適化に使用できます。

MySQLに使用できるさまざまなバックアップ戦略は何ですか？Apr 30, 2025 am 12:28 AM

MySQLバックアップポリシーには、論理バックアップ、物理バックアップ、増分バックアップ、レプリケーションベースのバックアップ、クラウドバックアップが含まれます。 1. Logical BackupはMySqldumpを使用してデータベースの構造とデータをエクスポートします。これは、小さなデータベースとバージョンの移行に適しています。 2.物理バックアップは、データファイルをコピーすることで高速かつ包括的ですが、データベースの一貫性が必要です。 3.インクリメンタルバックアップは、バイナリロギングを使用して変更を記録します。これは、大規模なデータベースに適しています。 4.レプリケーションベースのバックアップは、サーバーからバックアップすることにより、生産システムへの影響を減らします。 5. Amazonrdsなどのクラウドバックアップは自動化ソリューションを提供しますが、コストと制御を考慮する必要があります。ポリシーを選択するときは、データベースサイズ、ダウンタイム許容度、回復時間、および回復ポイントの目標を考慮する必要があります。

MySQLクラスタリングとは何ですか？Apr 30, 2025 am 12:28 AM

mysqlclusteringenhancesdatabaserobustnessnessnessnessnessnistandistributiondistributingdataacrossmultiplenodes.itesthendbenginefordatareplication andfaulttolerance、保証highavailability.setupinvolvesconfiguringmanagement、data、ssqlnodes、carefulmonitoringringandpe

MySQLのパフォーマンスのためにデータベーススキーマ設計を最適化するにはどうすればよいですか？Apr 30, 2025 am 12:27 AM

MySQLのデータベーススキーマ設計の最適化は、次の手順を通じてパフォーマンスを改善できます。1。インデックス最適化：一般的なクエリ列にインデックスを作成し、クエリのオーバーヘッドのバランスをとり、更新を挿入します。 2。テーブル構造の最適化：正規化または反通常化によりデータ冗長性を削減し、アクセス効率を改善します。 3。データ型の選択：Varcharの代わりにINTなどの適切なデータ型を使用して、ストレージスペースを削減します。 4。パーティション化とサブテーブル：大量のデータボリュームの場合、パーティション化とサブテーブルを使用してデータを分散させてクエリとメンテナンスの効率を改善します。

MySQLのパフォーマンスをどのように最適化できますか？Apr 30, 2025 am 12:26 AM

tooptimizemysqlperformance、soflowthesesteps：1）properindexingtospeedupqueries、2）useexplaintoanalyzeandoptimize Queryperformance、3）AductServerContingSettingStingsinginginnodb_buffer_pool_sizeandmax_connections、4）

See all articles