91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

NoSql注入命令行接口工具Nosqli怎么用

發布時間:2021-11-11 21:40:07 來源:億速云 閱讀:158 作者:柒染 欄目:數據安全

這篇文章將為大家詳細講解有關NoSql注入命令行接口工具Nosqli怎么用,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

Nosqli

Nosqli是一款功能強大的NoSql注入命令行接口工具,本質上來說,它就是一款NoSQL掃描和注入工具。Nosqli基于Go語言開發,是一款易于使用的NoSql注入工具,并且提供了完整的命令行接口,而且支持安全研究人員根據自己的需要來進行自定義配置。

該工具的運行速度非常快,而且掃描結果準確,具備高可用性。除此之外,其命令行接口的使用也非常簡單。

功能介紹

Nosqli當前支持針對MongoDB的NoSql注入檢測,該工具目前可以執行下列測試:

  • 基于錯誤的測試:注入各種字符和Payload,掃描已知的Mongo錯誤響應;

  • 布爾盲注測試:注入包含True/False參數的Payload,并嘗試判斷是否存在注入點;

  • 基于時間的測試:嘗試向目標服務器注入時間延遲,并根據響應判斷是否存在注入點;

工具下載

廣大研究人員請直接訪問該項目的Releases頁面并現在對應操作系統的最新版本Nosqli。下載完成后,安裝在指定路徑,或直接從本地文件目錄中運行。

NoSql注入命令行接口工具Nosqli怎么用

工具使用

廣大研究人員可以直接按照下列方式直接運行注入命令或查看幫助信息。

$ nosqli

NoSQLInjector is a CLI tool for testing Datastores that

do not depend on SQL as a query language.

 

nosqli aims to be a simple automation tool for identifying and exploiting

NoSQL Injection vectors.

 

Usage:

  nosqli [command]

 

Available Commands:

  help        Help about any command

  scan        Scan endpoint for NoSQL Injection vectors

  version     Prints the current version

 

Flags:

      --config string       config file (default is $HOME/.nosqli.yaml)

  -d, --data string         Specify default post data (should not include any injection strings)

  -h, --help                help for nosqli

  -p, --proxy string        Proxy requests through this proxy URL. Defaults to HTTP_PROXY environment variable.

  -r, --request string      Load in a request from a file, such as a request generated in Burp or ZAP.

  -t, --target string       target url eg. http://site.com/page?arg=1

  -u, --user-agent string   Specify a user agent

 

Use "nosqli [command] --help" for more information about a command.

 

$ nosqli scan -t http://localhost:4000/user/lookup?username=test

Running Error based scan...

Running Boolean based scan...

Found Error based NoSQL Injection:

  URL: http://localhost:4000/user/lookup?=&username=test

  param: username

  Injection: username='

大家可以使用存在漏洞的NodeJS應用程序或其他的NoSql注入實驗平臺來測試該工具的使用。

源碼構建

如果大家想要自行動手構建源碼,或針對特定的平臺進行源碼編譯,大家可以先按照下列方式將該項目源碼克隆至本地,然后安裝依賴,最后手動構建項目。這里要求設備上安裝好最新的Go開發遠景,然后配置好GOPATH環境變量。

$ git clone https://github.com/Charlie-belmer/nosqli

$ cd nosqli

$ go get ./..

$ go install

$ nosqli -h

運行測試

該工具自帶了一個測試套件,研究人員可以在該項目根目錄下運行go test來進行簡單的注入檢測:

go test ./...

除此之外,Nosqli還提供了針對本地運行的已知易受攻擊應用程序來進行注入的測試集。要使用集成測試,請安裝并運行易受攻擊的NodeJS Mongo注入應用程序,或者我提供的PHP Lab。接下來,我們需要在運行命令時提供集成參數:

go test ./... -args -integrations=true

關于NoSql注入命令行接口工具Nosqli怎么用就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

乌审旗| 威海市| 昭平县| 松江区| 临沧市| 张家界市| 百色市| 神农架林区| 阜康市| 岑巩县| 田阳县| 阿荣旗| 漳平市| 榆林市| 顺义区| 于都县| 深圳市| 井研县| 罗江县| 平谷区| 页游| 乌海市| 卓资县| 宁化县| 汤阴县| 林州市| 铁力市| 葫芦岛市| 锡林郭勒盟| 象山县| 大同市| 长武县| 宁乡县| 台中县| 遂宁市| 汾西县| 南华县| 德清县| 龙门县| 九台市| 罗源县|