web-dev-qa-db-ja.com

NoSQLインジェクションをテストする方法は?

NoSQLインジェクションをテストする方法は? NoSQLデータベースの構造(または実際には非構造)は、MySQL、MSSQL、PostgreSQLなどの構造化データベースとは大きく異なることを考慮してください。

アプリケーションがNoSQLインジェクションに対して脆弱かどうかをテストするために、既知のツール、ペイロードリスト、トリック、またはその他の一般的な慣行(それ以外はクリエイティブハッカーの考え方を使用)ですか?

4
Bob Ortiz

ここでは非常に基本的なNoSQLインジェクションを研究できます- https://ckarande.gitbooks.io/owasp-nodegoat-tutorial/content/tutorial/a1_-_sql_and_nosql_injection.html - -意図的に安全でない Nodegoatアプリケーション をインストールする場合、テストツールから利用できます。

このブログでは、バックエンドのNoSQLデータベースであるMongoDBを使用するMeteorと呼ばれるNode.jsフレームワークに関するディスカッションとビデオを投稿しています- http://blog.east5th.co/2016/03/21/nosql-インジェクションインモダンウェブアプリケーション/

原則は他のNoSQLデータベースに適用する必要があります。 MongoDB(およびRedis、HBase、CouchDB、Cassandraなどの他のNoSQLデータストア)の詳細については、このStackExchangeの回答を確認してください- https://security.stackexchange.com/a/96593/140 -こちらをチェックするために特にMongoDBに関する別のブログ投稿- http://www.technopy.com/mongodb-injection-how-to-hack-mongodb -html /

ペイロードリスト(別名ワードリスト)の詳細については、このプロジェクトを参照してください- https://github.com/fuzzdb-project/fuzzdb/tree/master/attack/no-sql-injection

4
atdre