日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Nosqli:一款功能強(qiáng)大的NoSQL注入命令行接口工具

Nosqli

站在用戶的角度思考問題,與客戶深入溝通,找到邯山網(wǎng)站設(shè)計(jì)與邯山網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗(yàn),讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品,建站類型包括:做網(wǎng)站、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、申請(qǐng)域名、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋邯山地區(qū)。

Nosqli是一款功能強(qiáng)大的NoSql注入命令行接口工具,本質(zhì)上來說,它就是一款NoSQL掃描和注入工具。Nosqli基于Go語言開發(fā),是一款易于使用的NoSql注入工具,并且提供了完整的命令行接口,而且支持安全研究人員根據(jù)自己的需要來進(jìn)行自定義配置。

該工具的運(yùn)行速度非??欤覓呙杞Y(jié)果準(zhǔn)確,具備高可用性。除此之外,其命令行接口的使用也非常簡單。

功能介紹

Nosqli當(dāng)前支持針對(duì)MongoDB的NoSql注入檢測(cè),該工具目前可以執(zhí)行下列測(cè)試:

  • 基于錯(cuò)誤的測(cè)試:注入各種字符和Payload,掃描已知的Mongo錯(cuò)誤響應(yīng);
  • 布爾盲注測(cè)試:注入包含True/False參數(shù)的Payload,并嘗試判斷是否存在注入點(diǎn);
  • 基于時(shí)間的測(cè)試:嘗試向目標(biāo)服務(wù)器注入時(shí)間延遲,并根據(jù)響應(yīng)判斷是否存在注入點(diǎn);

工具下載

廣大研究人員請(qǐng)直接訪問該項(xiàng)目的Releases頁面并現(xiàn)在對(duì)應(yīng)操作系統(tǒng)的最新版本Nosqli。下載完成后,安裝在指定路徑,或直接從本地文件目錄中運(yùn)行。

工具使用

廣大研究人員可以直接按照下列方式直接運(yùn)行注入命令或查看幫助信息。

 
 
 
 
    
  
  
  
  
  1. $ nosqli 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. NoSQLInjector is a CLI tool for testing Datastores that 
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5. do not depend on SQL as a query language. 
    6. 
  
  
  
  
  6.  
    7. 
  
  
  
  
  7.   
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. nosqli aims to be a simple automation tool for identifying and exploiting 
    10. 
  
  
  
  
  10.  
    11. 
  
  
  
  
  11. NoSQL Injection vectors. 
    12. 
  
  
  
  
  12.  
    13. 
  
  
  
  
  13.   
    14. 
  
  
  
  
  14.  
    15. 
  
  
  
  
  15. Usage: 
    16. 
  
  
  
  
  16.  
    17. 
  
  
  
  
  17.   nosqli [command] 
    18. 
  
  
  
  
  18.  
    19. 
  
  
  
  
  19.   
    20. 
  
  
  
  
  20.  
    21. 
  
  
  
  
  21. Available Commands: 
    22. 
  
  
  
  
  22.  
    23. 
  
  
  
  
  23.   help        Help about any command 
    24. 
  
  
  
  
  24.  
    25. 
  
  
  
  
  25.   scan        Scan endpoint for NoSQL Injection vectors 
    26. 
  
  
  
  
  26.  
    27. 
  
  
  
  
  27.   version     Prints the current version 
    28. 
  
  
  
  
  28.  
    29. 
  
  
  
  
  29.   
    30. 
  
  
  
  
  30.  
    31. 
  
  
  
  
  31. Flags: 
    32. 
  
  
  
  
  32.  
    33. 
  
  
  
  
  33.       --config string       config file (default is $HOME/.nosqli.yaml) 
    34. 
  
  
  
  
  34.  
    35. 
  
  
  
  
  35.   -d, --data string         Specify default post data (should not include any injection strings) 
    36. 
  
  
  
  
  36.  
    37. 
  
  
  
  
  37.   -h, --help                help for nosqli 
    38. 
  
  
  
  
  38.  
    39. 
  
  
  
  
  39.   -p, --proxy string        Proxy requests through this proxy URL. Defaults to HTTP_PROXY environment variable. 
    40. 
  
  
  
  
  40.  
    41. 
  
  
  
  
  41.   -r, --request string      Load in a request from a file, such as a request generated in Burp or ZAP. 
    42. 
  
  
  
  
  42.  
    43. 
  
  
  
  
  43.   -t, --target string       target url eg. http://site.com/page?arg=1 
    44. 
  
  
  
  
  44.  
    45. 
  
  
  
  
  45.   -u, --user-agent string   Specify a user agent 
    46. 
  
  
  
  
  46.  
    47. 
  
  
  
  
  47.   
    48. 
  
  
  
  
  48.  
    49. 
  
  
  
  
  49. Use "nosqli [command] --help" for more information about a command. 
    50. 
  
  
  
  
  50.  
    51. 
  
  
  
  
  51.   
    52. 
  
  
  
  
  52.  
    53. 
  
  
  
  
  53. $ nosqli scan -t http://localhost:4000/user/lookup?username=test 
    54. 
  
  
  
  
  54.  
    55. 
  
  
  
  
  55. Running Error based scan... 
    56. 
  
  
  
  
  56.  
    57. 
  
  
  
  
  57. Running Boolean based scan... 
    58. 
  
  
  
  
  58.  
    59. 
  
  
  
  
  59. Found Error based NoSQL Injection: 
    60. 
  
  
  
  
  60.  
    61. 
  
  
  
  
  61.   URL: http://localhost:4000/user/lookup?=&username=test 
    62. 
  
  
  
  
  62.  
    63. 
  
  
  
  
  63.   param: username 
    64. 
  
  
  
  
  64.  
    65. 
  
  
  
  
  65.   Injection: username=' 
    66.

大家可以使用存在漏洞的NodeJS應(yīng)用程序或其他的NoSql注入實(shí)驗(yàn)平臺(tái)來測(cè)試該工具的使用。

源碼構(gòu)建

如果大家想要自行動(dòng)手構(gòu)建源碼,或針對(duì)特定的平臺(tái)進(jìn)行源碼編譯,大家可以先按照下列方式將該項(xiàng)目源碼克隆至本地,然后安裝依賴,最后手動(dòng)構(gòu)建項(xiàng)目。這里要求設(shè)備上安裝好最新的Go開發(fā)遠(yuǎn)景,然后配置好GOPATH環(huán)境變量。

 
 
 
 
    
  
  
  
  
  1. $ git clone https://github.com/Charlie-belmer/nosqli 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. $ cd nosqli 
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5. $ go get ./.. 
    6. 
  
  
  
  
  6.  
    7. 
  
  
  
  
  7. $ go install 
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. $ nosqli -h 
    10.

運(yùn)行測(cè)試

該工具自帶了一個(gè)測(cè)試套件,研究人員可以在該項(xiàng)目根目錄下運(yùn)行g(shù)o test來進(jìn)行簡單的注入檢測(cè):

 
 
 
 
    
  
  
  
  
  1. go test ./... 
    2.

除此之外,Nosqli還提供了針對(duì)本地運(yùn)行的已知易受攻擊應(yīng)用程序來進(jìn)行注入的測(cè)試集。要使用集成測(cè)試,請(qǐng)安裝并運(yùn)行易受攻擊的NodeJS Mongo注入應(yīng)用程序,或者我提供的PHP Lab。接下來,我們需要在運(yùn)行命令時(shí)提供集成參數(shù):

 
 
 
 
    
  
  
  
  
  1. go test ./... -args -integrations=true 
    2.

項(xiàng)目地址

Nosqli:【GitHub傳送門】


網(wǎng)頁名稱:Nosqli:一款功能強(qiáng)大的NoSQL注入命令行接口工具
分享網(wǎng)址:http://m.5511xx.com/article/dpipjsd.html