- 授权协议: GPL
- 开发语言: Python
- 操作系统: 跨平台
- 软件首页: http://www.nosqlmap.net
软件介绍
NoSQLMap是一款开源Python工具,可以帮助安全测试人员自动化对NoSQL数据库进行攻击测试。目前这款工具的漏洞利用程序围绕MongoDB,但是以后会支持更多的NoSQL数据库,如 CouchDB, Redis和Cassandra。
NoSQLMap是一款Python编写的开源工具,常用于审计NoSQL数据库中的自动注入攻击、为了从数据库中揭露数据而利用NoSQL数据库或使用NoSQL的Web应用的默认配置弱点。
它这样命名是为了几年Bernardo Damele和Miroslav创作的流行的SQL工具SQLmap,它的设计理念来源于Ming Chow在Defcon中发表的很棒的演讲-”Abusing NoSQL Databases”。该工具目前主要应用于MongoDB,但是它在未来的版本中还会支持其他基于NoSQL的平台,如CouchDB, Redis和Cassandra等。当前该项目的目的是为简单攻击MongoDB服务器和一些web应用提供渗透测试工具,以及用通过概念攻击来证明某NoSQL应用不会受到SQL注入。
主要功能:
自动化MongoDB和CouchDB数据库枚举和克隆攻击。
- 通过MongoDB web应用提取数据库名称、用户和哈希密码。
为使用默认访问和枚举版本的MongoDB和CouchDB数据库扫描子网或IP列表。
字典攻击、暴力破解恢复的MongoDB和CouchDB的哈希密码。
- 针对MongoClient的PHP应用程序参数注入攻击,返回所有数据库中的记录。
Javascript函数变量转移和任意代码注入,返回所有数据库中的记录。
类似于盲SQL注入的用于验证无来自应用程序的反馈的Javascript注入漏洞的时序攻击。
使用方法
启动
./nosqlmap.py
或
python nosqlmap.py.
基本菜单
1-Set options (do this first) 2-NoSQL DB Access Attacks 3-NoSQL Web App attacks 4-Exit
Web容量规划的艺术
阿尔斯帕瓦 / 叶飞、罗江华 / 机械工业出版社 / 2010-1 / 29.00元
《Web容量规划的艺术》由John Allspaw(F订ickr的工程运营经理)撰写,结合了他个人在F1ickr成长过程中的许多经历和很多其他产业中同行的洞察力。在衡量增长、预测趋势、成本效益等方面,他们的经验都会给你一些可靠并有效的指导。 网站的成功是以使用和增长来衡量的,而且网站类公司的成败(生死)是依赖于他们是否有能力来衡量决定他们的基础结构,从而适应不断增长的需求。作者通过自身实践给......一起来看看 《Web容量规划的艺术》 这本书的介绍吧!
