解释checkKeys参数呈现的mongodb注入漏洞
Explain the mongodb injection vulnerability presented by the checkKeys parameter
来自 https://mongodb.github.io/node-mongodb-native/api-generated/collection.html
的文档
checkKeys {Boolean, default:true}, allows for disabling of document key checking (WARNING OPENS YOU UP TO INJECTION ATTACKS)
我找不到任何使用此漏洞的示例。我是否可以自己做一些卫生设施来减轻不使用内置卫生设施的情况?例如,拒绝任何具有包含非字母数字、非句点字符的键的对象?
link 指的是非常旧的驱动程序 v1.4.9 的文档,该驱动程序与 mongodb 一起使用直到 v3.0,于 2018 年 2 月停用。
那里的 checkKeys
选项是为了向后兼容 v2.6 之前的 OP_INSERT 有线协议(对 v2.6 的支持已于 2016 年 10 月结束)。
建议在升级上投入一些精力,而不是为旧版本的数据库进行一些自定义清理。
来自 https://mongodb.github.io/node-mongodb-native/api-generated/collection.html
的文档checkKeys {Boolean, default:true}, allows for disabling of document key checking (WARNING OPENS YOU UP TO INJECTION ATTACKS)
我找不到任何使用此漏洞的示例。我是否可以自己做一些卫生设施来减轻不使用内置卫生设施的情况?例如,拒绝任何具有包含非字母数字、非句点字符的键的对象?
link 指的是非常旧的驱动程序 v1.4.9 的文档,该驱动程序与 mongodb 一起使用直到 v3.0,于 2018 年 2 月停用。
那里的 checkKeys
选项是为了向后兼容 v2.6 之前的 OP_INSERT 有线协议(对 v2.6 的支持已于 2016 年 10 月结束)。
建议在升级上投入一些精力,而不是为旧版本的数据库进行一些自定义清理。