Detecting NoSQL injection

Link: https://portswigger.net/web-security/nosql-injection/lab-nosql-injection-detection

Description:

The product category filter for this lab is powered by a MongoDB NoSQL database. It is vulnerable to NoSQL injection.

To solve the lab, perform a NoSQL injection attack that causes the application to display unreleased products.

Proof of concept:

  1. Analisa pada web target

  2. Dari hasil analisa terdapat parameter category untuk memilih kategori produk. Inputkan karaketer single quote (’) untuk mendeteksi apakah parameter tersebut rentan terhadap injection atau tidak

  3. Ketika diinputkan karakter (’) maka muncul error, yang artinya da kemungkinan rentan terhadap injection. Untuk lebih memastikannya inputkan (\’) bila tidak muncul pesan error maka parameter tersebut rentan terhadap NOSQL injection

  4. Untuk menyelesaikan tangtangan pada lab ini dengan menampilkan seluruh produk baik yang rilis ataupun tidak dapat menggunakan payload injection berikut ‘||1||’. Maka seluruh data produk akan tampil

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousNoSQL InjectionNextExploiting NoSQL operator injection to bypass authentication

Last updated