WORDPRESS

¿Cómo auditar las vulnerabilidades de seguridad de NoSQL?

La inyección SQL es una de las técnicas de ataque populares, pero existe no solo en SQL (bases de datos relacionales) sino también en NoSQL (no SQL o también conocidas como bases de datos no relacionales).

sabes que hay Más de 100 bases de datos NoSQL Esta en stock hoy?

Gracias a la comunidad de código abierto.

¿De cuál has oído hablar?

¡Probablemente MongoDB y Redis! Sí, son muy populares.

NoSQL no es nada nuevo. Fue introducido por primera vez en 1998 por Carlo Strozzi. Pero recientemente, su uso en aplicaciones modernas ha ganado mucha popularidad. Entonces por qué no. Es rápido y resuelve algunos problemas de bases de datos relacionales tradicionales. Hay diferencias entre SQL y NoSQL.

Si está utilizando una base de datos NoSQL como MongoDB y no está seguro de si está lista para producción, no exponga vulnerabilidades, configuraciones incorrectas, etc. Las siguientes herramientas pueden ayudarlo a encontrarlo.

NoSQLMap

NoSQLMap es una microutilidad de código abierto basada en Python capaz de auditar configuraciones incorrectas y ataques de inyección automatizados. Actualmente se admiten las siguientes bases de datos.

  • MongoDB
  • base de datos de sofás
  • redis
  • casandra

Para instalar NoSQLMap, necesita Git, Python y los módulos Setuptools, que puede instalar en Ubuntu a continuación.

apt-get install python
apt-get install python-setuptools

Después de instalar Python, instale NoSQLMAP a continuación.

git clone https://github.com/codingo/NoSQLMap.git
python setup.py install

Una vez hecho esto, puede ejecutar ./nosqlmap.py Desde el directorio de clonación de GIT, se le solicitará lo siguiente.

_  _     ___  ___  _    __  __           
| \| |___/ __|/ _ \| |  |  \/  |__ _ _ __ 
| .` / _ \__ \ (_) | |__| |\/| / _` | '_ \
|_|\_\___/___/\__\_\____|_|  |_\__,_| .__/
 v0.7 [email protected]        |_|   


1-Set options
2-NoSQL DB Access Attacks
3-NoSQL Web App attacks
4-Scan for Anonymous MongoDB Access
5-Change Platform (Current: MongoDB)
x-Exit
Select an option:

Debe ir a la opción 1 para establecer el objetivo antes de realizar la prueba. Consulte el tutorial de demostración a continuación.

Auditoría de Mongolia

Como puede adivinar por el nombre, es específico de MongoDB. Auditoría de Mongolia Facilita la realización de pruebas de penetración para encontrar errores, configuraciones incorrectas y riesgos potenciales. Comprueba muchas prácticas recomendadas, incluidas las siguientes.

  • Si MongoDB se ejecuta en el puerto predeterminado y la interfaz HTTP está habilitada
  • Autenticación si está protegida con TLS
  • Método de autentificación
  • Operaciones CRUD

Instalar Mongoaudit es fácil.puedes usarlo pip Pedido.

pip install mongoaudit

Ejecutar después de la instalación mongoaudit Comando para ejecutar un escaneo. Se le pedirá que seleccione un nivel de escaneo e ingrese los detalles del oyente de MongoDB.

Independientemente de la herramienta que utilice para ejecutar análisis de seguridad en bases de datos NoSQL, recuerde ser responsable. Debe asegurarse de que las pruebas se ejecuten en su propia instancia de base de datos o estén autorizadas para ejecutarse. Si usa NoSQL con frecuencia, es posible que le interese explorar estos clientes para administrar una mejor productividad.

Y consulte este artículo para encontrar vulnerabilidades de inyección SQL en bases de datos relacionales.

Artículo Recomendado:  Cómo ordenar una lista en Python

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *