ابزار noSQLMAP
NoSQLMap یک ابزار متن باز بر پایهی پایتون است که برای بازرسی، خودکارسازی و نهایت بهروری از نقاط ضعف پیکربندی پیشفرض در پایگاه دادههای NoSQLو اپلیکیشنهای تحت وب که در جهت افشای دادههای پایگاه دادهNoSQL را به کار میبرند استفاده میشود.
در حال حاضر بهره بروری این ابزار روی MongoDB متمرکز شده، اما پشتیبانی برای سایر سیستم عامل های مبتنی بر NoSQL مانند CouchDB ، Redis و Cassandr در نسخه های آینده افزوده خواهد شد.
نیازمندیها
در سیستمهای مبتنی بر دبیان یا ردهت، اسکریپت setup.sh ممکن برای خودکارسازی نصب وابستگیهای NoSQLMap به عنوان ریشه اجرا شود.
بر اساس ویژگیهای مورد استفاده متفاوت است:
برخی کتابخانههای مختلف دیگر نیز وجود دارند که یک نصب معمولی از پایتون باید به راحتی در دسترس باشد. ممکن است مقصود شما متفاوت باشد، اسکریپت را بررسی کنید.
ویژگیها:
برای دانلود و مشاهده راهنمای برنامه به آدرس زیر مراجعه کنید :
نمونه فیلم آموزشی برنامه :
NoSQLMap یک ابزار متن باز بر پایهی پایتون است که برای بازرسی، خودکارسازی و نهایت بهروری از نقاط ضعف پیکربندی پیشفرض در پایگاه دادههای NoSQLو اپلیکیشنهای تحت وب که در جهت افشای دادههای پایگاه دادهNoSQL را به کار میبرند استفاده میشود.
در حال حاضر بهره بروری این ابزار روی MongoDB متمرکز شده، اما پشتیبانی برای سایر سیستم عامل های مبتنی بر NoSQL مانند CouchDB ، Redis و Cassandr در نسخه های آینده افزوده خواهد شد.
نیازمندیها
در سیستمهای مبتنی بر دبیان یا ردهت، اسکریپت setup.sh ممکن برای خودکارسازی نصب وابستگیهای NoSQLMap به عنوان ریشه اجرا شود.
بر اساس ویژگیهای مورد استفاده متفاوت است:
- Metasploit Framework,
- Python with PyMongo,
- httplib2,
- and urllib available.
- یک نمونه محلی پیش فرضMongoDB برای کلون کردن بانکهای اطلاعاتی. برای دستورالعمل نصب اینجا را بررسی کنید.
برخی کتابخانههای مختلف دیگر نیز وجود دارند که یک نصب معمولی از پایتون باید به راحتی در دسترس باشد. ممکن است مقصود شما متفاوت باشد، اسکریپت را بررسی کنید.
ویژگیها:
- شمارش پایگاه دادههای MongoDB و CouchDB و حملات کلون (cloning attacks) خودکار.
- استخراخ نام، رمزعبور، نامهای کاربری و هشهای پایگاههای داده از طریق اپلیکیشنهای تحت وب بر پایه ی MongoDB.
- اسکن زیرشبکهها یا لیستهای IP برای پایگاه دادههای MongoDB و CouchDB با دسترسی پیش فرض و نسخه های شمارنده.
- واژه نامه و کرک رمزعبورها با روش brute force برای هشهای بازیابی شده از MongoDB و CouchDB .
- حملات تزریق پارامتر اپلیکیشنهای PHP علیه MongoClient برای بازگشت همهی سوابق پایگاه دادهها.
- عملگر جاوااسکریپت فرار از متغییر و تزریق کد دلخواه برای بازگشت تمام سوابق پایگاه داده.
- حملات زمانبندی شده مشابه به blind SQL injection برای اعتبارسنجی آسیب پذیری تزریق جاوا اسکریپت از آسیبپذیریها بدون نیاز به بازخورد از اپلیکیشن.
برای دانلود و مشاهده راهنمای برنامه به آدرس زیر مراجعه کنید :
کد:
[LEFT]https://github.com/codingo/NoSQLMap[/LEFT]
کد:
[LEFT]https://www.youtube.com/watch?v=xSFi-jxOBwM[/LEFT]
نظر