💉如何审核NoSQL的漏洞?

SQL注入是流行的攻击方法之一,但它不仅适用于SQL(关系数据库),而且还适用于NoSQL(非SQL或也称为非关系数据库)。

您知道今天有超过100个NoSQL数据库可用吗?

感谢开源社区。

您听说过哪一个?

大概是MongoDB和Redis!

是的,它们很受欢迎。

NoSQL不是新的。

它于1998年由Carlo Strozzi首次引入。 但是最近,由于其在现代应用中的使用,它已经获得了很大的普及。 那么为何不。 它们速度很快,可以解决关系数据库中的一些传统问题。 SQL和NoSQL之间有区别。 您可以在此处找到更多详细信息:

👥SQL或NoSQL-下一个项目要使用哪个?

如果您使用的是NoSQL数据库(例如MongoDB),并且不确定它们是否适合生产,请确定漏洞,配置错误等。以下工具可以帮助您找到它们。

NoSQLMap

NoSQLMap是一个小型的基于Python的开源实用程序,能够审核错误配置和自动执行注入攻击。

当前支持以下数据库。

  • MongoDB
  • CouchDB
  • 雷迪斯
  • 卡桑德拉

要安装NoSQLMap,您需要Git模块,Python和Setuptools,您可以在下面使用Ubuntu示例进行安装。

apt-get install python
apt-get install python-setuptools

安装Python之后,请按照说明安装NoSQLMAP。

git clone https://github.com/codingo/NoSQLMap.git
python setup.py install

之后,您可以运行 ./nosqlmap.py 从克隆的GIT目录中:

_  _     ___  ___  _    __  __
| | |___/ __|/ _ | |  |  /  |__ _ _ __
| .` / _ __  (_) | |__| |/| / _` | '_ 
|_|____/___/_______|_|  |___,_| .__/
 v0.7 [email protected]        |_|


1-Set options
2-NoSQL DB Access Attacks
3-NoSQL Web App attacks
4-Scan for Anonymous MongoDB Access
5-Change Platform (Current: MongoDB)
x-Exit
Select an option:

您需要通过在测试之前转到选项1来设定目标。

蒙哥迪

顾名思义,它是MongoDB特有的。 Mongoaudit非常适合执行渗透测试以发现错误,错误配置和潜在风险。 已针对许多最佳实践进行了测试,包括以下内容。

  • MongoDB是否在默认端口上运行并启用了HTTP接口
  • 通过TLS,身份验证保护基础安全吗
  • 身份验证方法
  • CRUD操作

安装Mongoaudit非常容易。 您可以使用pip命令。

pip install mongoaudit

安装后,运行mongoaudit命令开始扫描。 系统将提示您选择扫描级别,然后输入MongoDB详细信息。

💉如何审核NoSQL的漏洞?

无论使用哪种工具来扫描NoSQL数据库的安全性,请记住要负责。 您必须确保您正在使用自己的数据库实例,或者已被授权运行测试。 并查看本文以在关系数据库中找到SQL注入漏洞。 SQL什么是SQL注入以及如何在PHP应用程序中防止它

Sidebar