开源中国

我们不支持 IE 10 及以下版本浏览器

It appears you’re using an unsupported browser

为了获得更好的浏览体验,我们强烈建议您使用较新版本的 Chrome、 Firefox、 Safari 等,或者升级到最新版本的IE浏览器。 如果您使用的是 IE 11 或以上版本,请关闭“兼容性视图”。
NoSQLMap首页、文档和下载 - NoSQL 自动攻击测试工具 - 开源中国社区
全部项目分类
我要评价
GPL
Python
跨平台
分享
收藏
114 人收藏
收录时间:2014-01-06
NoSQLMap 详细介绍

NoSQLMap是一款开源Python工具,可以帮助安全测试人员自动化对NoSQL数据库进行攻击测试。目前这款工具的漏洞利用程序围绕MongoDB,但是以后会支持更多的NoSQL数据库,如 CouchDB, RedisCassandra

NoSQLMap是一款Python编写的开源工具,常用于审计NoSQL数据库中的自动注入攻击、为了从数据库中揭露数据而利用NoSQL数据库或使用NoSQL的Web应用的默认配置弱点。

它这样命名是为了几年Bernardo Damele和Miroslav创作的流行的SQL工具SQLmap,它的设计理念来源于Ming Chow在Defcon中发表的很棒的演讲-”Abusing NoSQL Databases”。该工具目前主要应用于MongoDB,但是它在未来的版本中还会支持其他基于NoSQL的平台,如CouchDB, Redis和Cassandra等。当前该项目的目的是为简单攻击MongoDB服务器和一些web应用提供渗透测试工具,以及用通过概念攻击来证明某NoSQL应用不会受到SQL注入。

主要功能:

  • 自动化MongoDB和CouchDB数据库枚举和克隆攻击。

  • 通过MongoDB web应用提取数据库名称、用户和哈希密码。
  • 为使用默认访问和枚举版本的MongoDB和CouchDB数据库扫描子网或IP列表。

  • 字典攻击、暴力破解恢复的MongoDB和CouchDB的哈希密码。

  • 针对MongoClient的PHP应用程序参数注入攻击,返回所有数据库中的记录。
  • Javascript函数变量转移和任意代码注入,返回所有数据库中的记录。

  • 类似于盲SQL注入的用于验证无来自应用程序的反馈的Javascript注入漏洞的时序攻击。

使用方法

启动

./nosqlmap.py

python nosqlmap.py.

基本菜单

1-Set options (do this first)
2-NoSQL DB Access Attacks
3-NoSQL Web App attacks
4-Exit

大家对 NoSQLMap 的评论 (全部 2 条评论)
{{repayCom.userName}}
顶部