PHP8 MongoDB脚本注入攻击

2024-04-08 10:15 更新

如果您使用的是 JavaScript,请确保任何跨越 PHP 的变量 - to-JavaScript 边界在 MongoDB\BSON\Javascript 字段中传递,而不是插值到 JavaScript 字符串。在查询、mapReduce 和 group 命令中使用子句时,以及您可能在任何其他时候都会出现这种情况 将 JavaScript 传递到数据库中。scope$where

例如,假设我们有一些 JavaScript 来问候数据库中的用户 原木。我们可以做到:

<?php
$m = new MongoDB\Driver\Manager;

// Don't do this!!!
$username = $_GET['field']; 

$cmd = new \MongoDB\Driver\Command( [
    'eval' => "print('Hello, $username!');"
] );

$r = $m->executeCommand( 'dramio', $cmd );
?>

但是,如果恶意用户传入一些 JavaScript 怎么办?

<?php
$m = new MongoDB\Driver\Manager;

// Don't do this!!!
$username = $_GET['field']; 
// $username is set to "'); db.users.drop(); print('"

$cmd = new \MongoDB\Driver\Command( [
    'eval' => "print('Hello, $username!');"
] );

$r = $m->executeCommand( 'dramio', $cmd );
?>

现在 MongoDB 执行 JavaScript 字符串。 这种攻击很容易避免:用来传球 从 PHP 到 JavaScript 的变量:"print('Hello, '); db.users.drop(); print('!');"args

<?php
$m = new MongoDB\Driver\Manager;

$_GET['field'] = 'derick';
$args = [ $_GET['field'] ];

$cmd = new \MongoDB\Driver\Command( [
    'eval' => "function greet(username) { print('Hello, ' + username + '!'); }",
    'args' => $args,
] );

$r = $m->executeCommand( 'dramio', $cmd );
?>

这会向 JavaScript 作用域添加一个参数,该参数将用作参数 对于函数。现在如果 有人试图发送恶意代码,MongoDB会无害地打印。greetHello, '); db.dropDatabase(); print('!

使用参数有助于防止恶意输入被 数据库。但是,您必须确保代码不会转过来 并执行输入!最好首先避免在服务器上执行任何 JavaScript。

强烈建议您远离 » $where 子句,因为它会显著影响性能。哪里 可能,使用普通查询运算符或 » 聚合 框架。

作为 » MapReduce 的替代品,它使用 JavaScript,请考虑使用 » 聚合 框架。与 Map/Reduce 不同,它使用惯用语言来 构造查询,而无需编写和使用速度较慢的 JavaScript Map/Reduce所需的方法。

自 MongoDB 3.0 以来,不推荐使用 » eval 命令,也应避免使用。


以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号