Thank you for reading this post, don't forget to subscribe!
SQL-инъекция — один из популярных методов атаки, но он применяется не только в SQL (реляционная база данных), но и в NoSQL (не-SQL или также известная как нереляционная база данных).
NoSQLMap
NoSQLMap — это крошечная утилита с открытым исходным кодом, основанная на Python, способная проводить аудит на предмет неправильной конфигурации и автоматизировать атаки с использованием инъекций.
На данный момент он поддерживает следующие базы данных.
- MongoDB
- CouchDB
- Redis
- Cassandra
Для установки NoSQLMap вам понадобится модуль Git, Python и Setuptools, которые вы можете установить ниже на примере Ubuntu.
1 2 |
yum install python yum install python-setuptools |
После установки Python следуйте инструкциям по установке NoSQLMAP.
1 2 |
git clone https://github.com/codingo/NoSQLMap.git python setup.py install |
После этого вы можете запустить ./nosqlmap.py из клонированного каталога GIT:
[codesyntax lang="php"]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
_ _ ___ ___ _ __ __ | \| |___/ __|/ _ \| | | \/ |__ _ _ __ | .` / _ \__ \ (_) | |__| |\/| / _` | '_ \ |_|\_\___/___/\__\_\____|_| |_\__,_| .__/ v0.7 codingo@protonmail.com |_| 1-Set options 2-NoSQL DB Access Attacks 3-NoSQL Web App attacks 4-Scan for Anonymous MongoDB Access 5-Change Platform (Current: MongoDB) x-Exit Select an option: |
[/codesyntax]
Вам необходимо установить цель, перейдя к варианту 1 перед тестированием.
Mongoaudit
Как можно догадаться по названию, он специфичен для MongoDB.
Mongoaudit хорош для выполнения пентеста, чтобы найти ошибки, неправильную конфигурацию и потенциальные риски.
Он проверяется на соответствие многим передовым практикам, включая следующие.
- Работает ли MongoDB на порту по умолчанию и включен интерфейс HTTP
- Защищена ли база с помощью TLS, аутентификации
- Метод аутентификации
- CRUD операции
Установить Mongoaudit очень просто.
Вы можете использовать команду pip.
1 |
pip install mongoaudit |