ابزار noSQLMAP

NoSQLMap یک ابزار متن باز بر پایه‌ی پایتون است که برای بازرسی، خودکارسازی و نهایت بهروری از نقاط ضعف پیکربندی پیش‌فرض در پایگاه داده‌های NoSQLو اپلیکیشن‌های تحت وب که در جهت افشای داده‌های پایگاه دادهNoSQL را به کار می‌برند استفاده می‌شود.


در حال حاضر بهره بروری این ابزار روی MongoDB متمرکز شده، اما پشتیبانی برای سایر سیستم عامل های مبتنی بر NoSQL مانند CouchDB ، Redis و Cassandr در نسخه های آینده افزوده خواهد شد.



نیازمندی‌ها

در سیستم‌های مبتنی بر دبیان یا ردهت، اسکریپت setup.sh ممکن برای خودکارسازی نصب وابستگی‌های NoSQLMap به عنوان ریشه اجرا شود.

بر اساس ویژگی‌های مورد استفاده متفاوت است:

• Metasploit Framework,
• Python with PyMongo,
• httplib2,
• and urllib available.
• یک نمونه محلی پیش فرضMongoDB برای کلون کردن بانکهای اطلاعاتی. برای دستورالعمل نصب اینجا را بررسی کنید.

برخی کتابخانه‌های مختلف دیگر نیز وجود دارند که یک نصب معمولی از پایتون باید به راحتی در دسترس باشد. ممکن است مقصود شما متفاوت باشد، اسکریپت را بررسی کنید.

ویژگی‌ها:

• شمارش پایگاه داده‌های MongoDB و CouchDB و حملات کلون (cloning attacks) خودکار.
• استخراخ نام، رمزعبور، نام‌های کاربری و هش‌های پایگاه‌‌های داده از طریق اپلیکیشن‌های تحت وب بر پایه ی MongoDB.
• اسکن زیرشبکه‌ها یا لیست‌های IP برای پایگاه داده‌های MongoDB و CouchDB با دسترسی پیش فرض و نسخه های شمارنده.
• واژه نامه و کرک رمزعبورها با روش brute force برای هش‌های بازیابی شده از MongoDB و CouchDB .
• حملات تزریق پارامتر اپلیکیشن‌های PHP علیه MongoClient برای بازگشت همه‌ی سوابق پایگاه داده‌‌ها.
• عملگر جاوااسکریپت فرار از متغییر و تزریق کد دلخواه برای بازگشت تمام سوابق پایگاه داده.
• حملات زمانبندی شده مشابه به blind SQL injection برای اعتبارسنجی آسیب پذیری تزریق جاوا اسکریپت از آسیب‌پذیری‌‌ها بدون نیاز به بازخورد از اپلیکیشن.

برای دانلود و مشاهده راهنمای برنامه به آدرس زیر مراجعه کنید :
نمونه فیلم آموزشی برنامه :