ทดสอบ injection ฐานข้อมูล MongoDB

เหล่าสาวกไอทีหลายๆท่านคงเคยได้เห็น หรือได้รู้วิธีการ injection SQL กันมาบ้าง แต่ถ้าเป็นฐานข้อมูลแบบ NoSQL เช่น MongoDB ละ?? การที่จะ bypass มันสามารถโดนแฮ็กเข้าไปได้ไหม??

คำตอบคือได้ โดยสามารถทำด้วยการส่ง parameter ที่เป็น username กับ password เป็นแบบตัวอย่างด้านล่างนี้ (ต้องรู้ก่อนว่าหน้าล็อกอินส่งตัวแปรอะไรไปเช็คกับฐานข้อมูล)

ตัวอย่างการส่งพารามิเตอร์ตามปกติทั่วไป
ตัวอย่างโค้ดที่ทำการ Injection

คราวนี้เรามาลองทดสอบด้วยโปรแกรม postman กัน

การส่งค่าเพื่อล็อกอินตามปกติ ( Status: 200 OK )
การส่งค่าในกรณีที่ล็อกอินไม่ได้ ( Status: 404 Not Found )
การใช้วิธี Injection ( Status: 200 OK )

จะเห็นได้ว่าสามาถผ่านเข้าไปได้ ทีนี้เราก็ต้องมาหาวิธีดักค่าพารามิเตอร์ที่ส่งมากันด้วย เพื่อป้องกันการแฮ็ก โดยวิธีที่ผมใช้คือทำการแปลง parameter ที่จะเอาไปเช็คกับฐานข้อมูลให้เป็น String ก่อน ดังเช่นตัวอย่างด้านล่าง

ทำการแปลงให้เป็น String ซะเลย โดยใช้ .toString()

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.