Exploitation web MongoDB et PHP

Pour cette édition, Benoit Côté-Jodoin présente des techniques pour exploiter une application PHP qui fait usage de MongoDB ainsi que des failles applicatives communes dans une application web.

Outils

• Burp Suite
• Python (ou votre langage de scripting favoris)
• PHP CLI (facultatif)

Exercice

• NoteKeeper 2000

Présentation

• Slides

Références

• MongoDB Query: https://docs.mongodb.com/manual/reference/method/db.collection.find/
• MongoDB Operators: https://docs.mongodb.com/manual/reference/operator/query/
• Hacking Node.js and MongoDB: http://blog.websecurify.com/2014/08/hacking-nodejs-and-mongodb.html
• PHP Object Injeciton: https://www.owasp.org/index.php/PHP_Object_Injection