끄적끄적

개요 NoSQL Injection은 SQL Injection과 마찬가지로 이용자의 입력값이 쿼리에 포함되서 발생하는 취약점이다. MongoDB(NoSQL)은 기존 SQL의 데이터 자료형(정수, 날짜, 문장려)외에도 오브젝트, 배열 타입을 사용할 수 있다. 특히 오브젝트 타입의 입력 값을 처리할 때 쿼리 연산자를 사용할 수 있는데, 이를 통해 다양한 행위가 가능하다. 본 포스팅에서는 NoSQL Injection에 대한 개념과 Blind NoSQL Injection에 대해 다뤄보고자 한다. MongoDB URL에서 Query 데이터를 추출(Express) const express = require('express'); //Nodejs의 Express Module 사용 const app = express();..

개요 예제코드는 지속적으로 업데이트 됩니다. XSS ∴ VueJS, AngularJS와 같은 Client Side Templete을 사용하는 경우, expression을 사용하여 XSS가 발현될 수 있음 ∴ Client Side에서 replace 함수를 사용하여 XSS를 대응하고자 하는 경우, replace 함수에 정규 표현식을 사용하지 않을 시 XSS 우회 가능 O: str.replace(/