¿Cómo auditar NoSQL en busca de vulnerabilidades de seguridad?

La inyección de SQL es una de las técnicas de ataque populares, pero no solo en SQL (base de datos relacional) sino también en NoSQL (no SQL o también conocida como base de datos no relacional).

sabes que hay más de 100 bases de datos NoSQL estan disponibles hoy?

Gracias a la comunidad de código abierto.

¿De cuál has oído hablar?

¡MongoDB y Redis, probablemente! Sí, son muy populares.

NoSQL no es algo nuevo; Fue presentado por primera vez en 1998 por Carlo Strozzi. Pero últimamente, ha ganado mucha popularidad con su uso en aplicaciones modernas. Y por qué no. Es rápido y resuelve algunos de los problemas tradicionales de las bases de datos relacionales. Hay diferencias entre SQL y NoSQL.

Si está utilizando una base de datos NoSQL como MongoDB y no está seguro de si es buena para la producción, no exponga vulnerabilidades, configuraciones incorrectas, etc. Las siguientes herramientas pueden ayudarlo a encontrar.

NoSQLMap

NoSQLMap es una pequeña utilidad de código abierto basada en Python, capaz de auditar para encontrar errores de configuración y automatizar ataques de inyección. Es compatible con las siguientes bases de datos en este momento.

MongoDB CouchDB Redis Cassandra

Para instalar NoSQLMap, necesita el módulo Git, Python y Setuptools, que puede instalar a continuación en Ubuntu.

apt-get install python
apt-get install python-setuptools

Una vez que Python esté instalado, siga para instalar NoSQLMAP.

git clone https://github.com/codingo/NoSQLMap.git
python setup.py install

Una vez hecho esto, puede ejecutar ./nosqlmap.py desde el directorio clonado de GIT, que aparecerá como se muestra a continuación.

_  _     ___  ___  _    __  __           
| \| |___/ __|/ _ \| |  |  \/  |__ _ _ __ 
| .` / _ \__ \ (_) | |__| |\/| / _` | '_ \
|_|\_\___/___/\__\_\____|_|  |_\__,_| .__/
 v0.7 [email protected]        |_|   


1-Set options
2-NoSQL DB Access Attacks
3-NoSQL Web App attacks
4-Scan for Anonymous MongoDB Access
5-Change Platform (Current: MongoDB)
x-Exit
Select an option:

Debe establecer el objetivo yendo a la opción 1 antes de realizar la prueba. Consulte el tutorial de demostración a continuación.

Mongoaudit

Como puede adivinar por el nombre, es específico para MongoDB. Mongoaudit es bueno para realizar pentest para encontrar un error, una configuración incorrecta y riesgos potenciales. Comprueba muchas prácticas recomendadas, incluidas las siguientes.

Si MongoDB se ejecuta en el puerto predeterminado y la interfaz HTTP está habilitada Si está protegido con TLS, autenticación Método de autenticación Operaciones CRUD

Instalar Mongoaudit es fácil. Puedes usar el comando pip.

pip install mongoaudit

Una vez instalado, ejecute el comando mongoaudit para ejecutar el análisis. Se le pedirá que seleccione el nivel de escaneo e ingrese los detalles del oyente de MongoDB.

Sea cual sea la herramienta que utilice para ejecutar un análisis de seguridad contra las bases de datos NoSQL, recuerde ser responsable. Debe asegurarse de que está ejecutando su propia instancia de base de datos o está autorizado para ejecutar la prueba. Si trabaja con frecuencia en NoSQL, es posible que le interese explorar estos clientes para administrar una mejor productividad.

Y consulte este artículo para encontrar una vulnerabilidad de inyección SQL en una base de datos relacional.

Publicaciones relacionadas

Botón volver arriba