79997296

Netsparker Web Application Security Scanner - единственное решение, которое обеспечивает автоматическую проверку уязвимостей с помощью Proof-Based Scanning™. SQL-инъекция-один из популярных методов атаки, но она применяется не только в SQL (реляционная база данных), но и в NoSQL (не-SQL или также известная как нереляционная база данных).

Знаете ли вы, что сегодня доступно более 100 баз данных NoSQL? Спасибо сообществу с открытым исходным кодом. О каком из них вы слышали? Наверное, МонгоДБ и Редис! Да, они очень популярны. NoSQL не является новой вещью; он был впервые представлен в 1998 году Карло Строцци.Но в последнее время он приобрел большую популярность при использовании в современных приложениях.А почему бы и нет.Он быстр и решает некоторые традиционные проблемы с реляционными базами данных.Существуют различия между SQL и NoSQL.

Если вы используете базу данных NoSQL, такую как MongoDB, и не уверены, хороши ли они для производства, Не подвергайте уязвимости, неверную конфигурацию и т. Д.Следующие инструменты могут помочь вам найти.

1. NoSQLMap

NoSQLMap-это крошечная утилита с открытым исходным кодом на основе Python, способная проводить аудит для поиска неправильной конфигурации и автоматизации инъекционных атак. На данный момент он поддерживает следующие базы данных.

  • MongoDB
  • CouchDB
  • Редис
  • Кассандра

Для установки NoSQLMap вам понадобится модуль Git, Pythonи Setuptools, который вы можете установить ниже на Ubuntu.

  • apt-get install python
  • apt-get install python-setuptools

После того, как Python установлен, затем следует установить NoSQLMAP.

  • git clone https://github.com/codingo/NoSQLMap.git
  • python setup.py install

После этого вы можете выполнить ./nosqlmap.pyиз каталога GIT cloned, который будет запрашивать, как показано ниже.

  • 1-Set options
  • 2-NoSQL DB Access Attacks
  • 3-NoSQL Web App attacks
  • 4-Scan for Anonymous MongoDB Access
  • 5-Change Platform (Current: MongoDB)
  • x-Exit
  • Select an option:

Вы должны установить цель, перейдя к варианту 1 перед тестированием.

Монгоаудит

Как вы можете догадаться по названию, он специфичен для MongoDB. Mongoaudit хорош для выполнения пентеста на предмет обнаружения ошибки, неправильной конфигурации и потенциальных рисков.Он сверяется со многими лучшими практиками, включая следующие.

  • Если MongoDB работает на порту по умолчанию и включен HTTP интерфейс
  • Если он защищен с помощью TLS, то аутентификация
  • Способ аутентификации
  • Операции CRUD

pip install mongoaudit

После установки выполните mongoaudit команду для запуска сканирования. Вам будет предложено выбрать уровень сканирования и ввести сведения о прослушивателе MongoDB. Какой бы инструмент вы ни использовали для проверки безопасности баз данных NoSQL, не забывайте нести ответственность. Вы должны убедиться, что вы работаете с собственным экземпляром базы данных или авторизованы для запуска теста.

"Вся Информация Размещенная В Блоге "Septem Plus" Несет Ознакомительно-Информационный Характер И Не Принуждает К Каким Либо Действиям Пользователей Блога. Блог "Septem Plus" Не Несет Ответственности За Действия Пользователей После Посещения Блога "Septem Plus"."

Так же прочитайте наши другие статьи: 7 Лучших Хостинговых Платформ! и 3 Мощная База Данных Временных Рядов!, а так же Что Такое SQL и NoSQL?! и получайте полезную информацию вместе с нами!) Так же не забывайте подписаться на нас в соц сетях , что бы не пропустить новые и полезные статьи)