av激情亚洲男人的天堂国语,日韩欧美精品一中文字幕,无码av一区二区三区无码,国产又色又爽又刺激的a片,国产又色又爽又刺激的a片

Nosqli:一款功能強大的NoSQL注入命令行接口工具

Nosqli

站在用戶的角度思考問題,與客戶深入溝通,找到邯山網(wǎng)站設計與邯山網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗,讓設計與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個性化、用戶體驗好的作品,建站類型包括:做網(wǎng)站、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、申請域名、虛擬空間、企業(yè)郵箱。業(yè)務覆蓋邯山地區(qū)。

Nosqli是一款功能強大的NoSql注入命令行接口工具,本質(zhì)上來說,它就是一款NoSQL掃描和注入工具。Nosqli基于Go語言開發(fā),是一款易于使用的NoSql注入工具,并且提供了完整的命令行接口,而且支持安全研究人員根據(jù)自己的需要來進行自定義配置。

該工具的運行速度非??欤覓呙杞Y(jié)果準確,具備高可用性。除此之外,其命令行接口的使用也非常簡單。

功能介紹

Nosqli當前支持針對MongoDB的NoSql注入檢測,該工具目前可以執(zhí)行下列測試:

  • 基于錯誤的測試:注入各種字符和Payload,掃描已知的Mongo錯誤響應;
  • 布爾盲注測試:注入包含True/False參數(shù)的Payload,并嘗試判斷是否存在注入點;
  • 基于時間的測試:嘗試向目標服務器注入時間延遲,并根據(jù)響應判斷是否存在注入點;

工具下載

廣大研究人員請直接訪問該項目的Releases頁面并現(xiàn)在對應操作系統(tǒng)的最新版本Nosqli。下載完成后,安裝在指定路徑,或直接從本地文件目錄中運行。

工具使用

廣大研究人員可以直接按照下列方式直接運行注入命令或查看幫助信息。

 
 
 
 
    
  
  
  
  
  1. $ nosqli 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. NoSQLInjector is a CLI tool for testing Datastores that 
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5. do not depend on SQL as a query language. 
    6. 
  
  
  
  
  6.  
    7. 
  
  
  
  
  7.   
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. nosqli aims to be a simple automation tool for identifying and exploiting 
    10. 
  
  
  
  
  10.  
    11. 
  
  
  
  
  11. NoSQL Injection vectors. 
    12. 
  
  
  
  
  12.  
    13. 
  
  
  
  
  13.   
    14. 
  
  
  
  
  14.  
    15. 
  
  
  
  
  15. Usage: 
    16. 
  
  
  
  
  16.  
    17. 
  
  
  
  
  17.   nosqli [command] 
    18. 
  
  
  
  
  18.  
    19. 
  
  
  
  
  19.   
    20. 
  
  
  
  
  20.  
    21. 
  
  
  
  
  21. Available Commands: 
    22. 
  
  
  
  
  22.  
    23. 
  
  
  
  
  23.   help        Help about any command 
    24. 
  
  
  
  
  24.  
    25. 
  
  
  
  
  25.   scan        Scan endpoint for NoSQL Injection vectors 
    26. 
  
  
  
  
  26.  
    27. 
  
  
  
  
  27.   version     Prints the current version 
    28. 
  
  
  
  
  28.  
    29. 
  
  
  
  
  29.   
    30. 
  
  
  
  
  30.  
    31. 
  
  
  
  
  31. Flags: 
    32. 
  
  
  
  
  32.  
    33. 
  
  
  
  
  33.       --config string       config file (default is $HOME/.nosqli.yaml) 
    34. 
  
  
  
  
  34.  
    35. 
  
  
  
  
  35.   -d, --data string         Specify default post data (should not include any injection strings) 
    36. 
  
  
  
  
  36.  
    37. 
  
  
  
  
  37.   -h, --help                help for nosqli 
    38. 
  
  
  
  
  38.  
    39. 
  
  
  
  
  39.   -p, --proxy string        Proxy requests through this proxy URL. Defaults to HTTP_PROXY environment variable. 
    40. 
  
  
  
  
  40.  
    41. 
  
  
  
  
  41.   -r, --request string      Load in a request from a file, such as a request generated in Burp or ZAP. 
    42. 
  
  
  
  
  42.  
    43. 
  
  
  
  
  43.   -t, --target string       target url eg. http://site.com/page?arg=1 
    44. 
  
  
  
  
  44.  
    45. 
  
  
  
  
  45.   -u, --user-agent string   Specify a user agent 
    46. 
  
  
  
  
  46.  
    47. 
  
  
  
  
  47.   
    48. 
  
  
  
  
  48.  
    49. 
  
  
  
  
  49. Use "nosqli [command] --help" for more information about a command. 
    50. 
  
  
  
  
  50.  
    51. 
  
  
  
  
  51.   
    52. 
  
  
  
  
  52.  
    53. 
  
  
  
  
  53. $ nosqli scan -t http://localhost:4000/user/lookup?username=test 
    54. 
  
  
  
  
  54.  
    55. 
  
  
  
  
  55. Running Error based scan... 
    56. 
  
  
  
  
  56.  
    57. 
  
  
  
  
  57. Running Boolean based scan... 
    58. 
  
  
  
  
  58.  
    59. 
  
  
  
  
  59. Found Error based NoSQL Injection: 
    60. 
  
  
  
  
  60.  
    61. 
  
  
  
  
  61.   URL: http://localhost:4000/user/lookup?=&username=test 
    62. 
  
  
  
  
  62.  
    63. 
  
  
  
  
  63.   param: username 
    64. 
  
  
  
  
  64.  
    65. 
  
  
  
  
  65.   Injection: username=' 
    66.

大家可以使用存在漏洞的NodeJS應用程序或其他的NoSql注入實驗平臺來測試該工具的使用。

源碼構(gòu)建

如果大家想要自行動手構(gòu)建源碼,或針對特定的平臺進行源碼編譯,大家可以先按照下列方式將該項目源碼克隆至本地,然后安裝依賴,最后手動構(gòu)建項目。這里要求設備上安裝好最新的Go開發(fā)遠景,然后配置好GOPATH環(huán)境變量。

 
 
 
 
    
  
  
  
  
  1. $ git clone https://github.com/Charlie-belmer/nosqli 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. $ cd nosqli 
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5. $ go get ./.. 
    6. 
  
  
  
  
  6.  
    7. 
  
  
  
  
  7. $ go install 
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. $ nosqli -h 
    10.

運行測試

該工具自帶了一個測試套件,研究人員可以在該項目根目錄下運行g(shù)o test來進行簡單的注入檢測:

 
 
 
 
    
  
  
  
  
  1. go test ./... 
    2.

除此之外,Nosqli還提供了針對本地運行的已知易受攻擊應用程序來進行注入的測試集。要使用集成測試,請安裝并運行易受攻擊的NodeJS Mongo注入應用程序,或者我提供的PHP Lab。接下來,我們需要在運行命令時提供集成參數(shù):

 
 
 
 
    
  
  
  
  
  1. go test ./... -args -integrations=true 
    2.

項目地址

Nosqli:【GitHub傳送門】


標題名稱:Nosqli:一款功能強大的NoSQL注入命令行接口工具
文章URL:http://uogjgqi.cn/article/dpipjsd.html
掃二維碼與項目經(jīng)理溝通

我們在微信上24小時期待你的聲音

解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流