Laboratorio: Detecting NoSQL injection
PreviousNo-SQL InjectionNextLaboratorio: Exploiting NoSQL operator injection to bypass authentication
Last updated
Last updated
Lo primero y más basico que haré será tirar un ' en alguna consulta de busqueda que vea en la URL:
Este error ya me deja ver que la aplicación vulnerable implementa una BD No-SQL con MongoDB, probé diferentes cargas pero hubo una que fue la que me resolvió el lab:
‘||
‘||1=1||’
‘||1=1||
‘
‘||1’
‘||1
‘||1||’ → Fue ESTA.
