Database

Bagaimana Cara Mengaudit NoSQL untuk Kerentanan Keamanan?

 Injeksi SQL adalah salah satu teknik penyerangan yang populer, namun tidak hanya di SQL (database relasional) tetapi juga di NoSQL (non-SQL atau disebut juga database non-relasional).

Tahukah Anda bahwa ada lebih dari 100 database NoSQL yang tersedia saat ini?

Terima kasih kepada komunitas sumber terbuka.

Mana yang pernah kamu dengar

MongoDB dan Redis mungkin! Ya, mereka sangat populer.

NoSQL bukanlah hal baru; ini pertama kali diperkenalkan pada tahun 1998 oleh Carlo Strozzi. Namun akhir-akhir ini, ia mendapatkan banyak popularitas dengan penggunaan dalam aplikasi modern. Dan kenapa tidak. Ini cepat dan memecahkan beberapa masalah database relasional tradisional. Ada perbedaan antara SQL dan NoSQL.

Jika Anda menggunakan database NoSQL seperti MongoDB dan tidak yakin apakah database tersebut bagus untuk produksi, jangan buka kerentanan, kesalahan konfigurasi, dll. Alat berikut dapat membantu Anda menemukannya.

NoSQLMap

NoSQLMap adalah utilitas kecil open-source berbasis Python, yang mampu mengaudit untuk menemukan kesalahan konfigurasi dan mengotomatiskan serangan injeksi. Ini mendukung database berikut saat ini.

  • MongoDB
  • CouchDB
  • Redis
  • Cassandra

Untuk menginstal NoSQLMap, Anda memerlukan modul Git, Python , dan Setuptools, yang dapat Anda instal di bawah ini di Ubuntu.

apt-get install python

apt-get install python-setuptools

Salinan

Setelah Python terinstal, ikuti untuk menginstal NoSQLMAP.

git clone https://github.com/codingo/NoSQLMap.git

python setup.py install

Salinan

Setelah selesai, Anda dapat mengeksekusi ./nosqlmap.pydari direktori kloning GIT, yang akan muncul seperti di bawah ini.

_  _     ___  ___  _    __  __          

| | |___/ __|/ _ | |  |  /  |__ _ _ __

| .` / _ __ (_) | |__| |/| / _` | ‘_

|_|____/___/_______|_|  |___,_| .__/

 v0.7 codingo@protonmail.com        |_|  

 

 

1-Set options

2-NoSQL DB Access Attacks

3-NoSQL Web App attacks

4-Scan for Anonymous MongoDB Access

5-Change Platform (Current: MongoDB)

x-Exit

Select an option:

Salinan

Anda perlu menetapkan target dengan membuka opsi 1 sebelum pengujian. Lihat tutorial demo di bawah ini.

Mongoaudit

Seperti yang bisa Anda tebak dari namanya, ini khusus untuk MongoDB. Mongoaudit baik untuk melakukan pentest untuk menemukan bug, kesalahan konfigurasi, dan potensi risiko. Ini memeriksa banyak praktik terbaik, termasuk yang berikut ini.

  • Jika MongoDB berjalan pada port default dan antarmuka HTTP diaktifkan
  • Jika diamankan dengan TLS, Authentication
  • Metode otentikasi
  • Operasi CRUD

Menginstal Mongoaudit itu mudah. Anda bisa menggunakan pipperintah.

pip install mongoaudit

Salinan

Setelah terinstal, jalankan mongoauditperintah untuk menjalankan pemindaian. Anda akan diminta untuk memilih level pemindaian dan memasukkan detail pendengar MongoDB.

Alat apa pun yang Anda gunakan untuk menjalankan pemindaian keamanan terhadap database NoSQL, ingatlah untuk bertanggung jawab. Anda harus memastikan bahwa Anda menjalankan instans database Anda sendiri atau diotorisasi untuk menjalankan pengujian. Jika Anda sering bekerja di NoSQL, Anda mungkin tertarik untuk menjelajahi klien  ini untuk mengelola produktivitas yang lebih baik.

Dan lihat artikel ini untuk menemukan kerentanan injeksi SQL dalam database relasional.

 

Click to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Most Popular

To Top