如何检测NoSQL注射？

Question

如何检测NoSQL注射？考虑到NoSQL数据库的结构(或实际上是非结构化的)与结构化数据库(如MySQL、MSSQL或PostgreSQL )有很大不同。

他们的已知工具、有效载荷列表、技巧或其他常见做法(然后使用创造性黑客思维方式)是否是为了测试应用程序是否易受NoSQL注入的影响？

Answer 1

这里可以研究一个非常基本的NoSQL注入-- https://ckarande.gitbooks.io/owasp-nodegoat-tutorial/content/tutorial/a1_-_sql_和_nosql_injection.html --如果您安装有目的的不安全的节点山羊应用，可以从您的测试工具中获得。

本博客围绕一个名为Meteor的Node.js框架发布了一个讨论和视频，该框架使用了后端NoSQL数据库MongoDB -- http://blog.east5th.co/2016/03/21/nosql-injection-in-modern-web-applications/。

原则应该适用于其他NoSQL数据库。欲了解更多关于渗透MongoDB (以及其他NoSQL数据存储区，如Redis、HBase、CouchDB和Cassandra)的信息，请查看这个StackExchange答案-- https://security.stackexchange.com/a/96593/140 --还有另一篇专门介绍MongoDB的博客文章-- http://www.technopy.com/mongodb-injection-how-to-hack-mongodb-html/。

有关有效负载列表(又名字列表)的其他详细信息，请参阅此项目-- https://github.com/fuzzdb-project/fuzzdb/tree/master/attack/no-sql-injection