NoSQLインジェクションをテストする方法は?
NoSQLインジェクションをテストする方法は? NoSQLデータベースの構造(または実際には非構造)は、MySQL、MSSQL、PostgreSQLなどの構造化データベースとは大きく異なることを考慮してください。
アプリケーションがNoSQLインジェクションに対して脆弱かどうかをテストするために、既知のツール、ペイロードリスト、トリック、またはその他の一般的な慣行(それ以外はクリエイティブハッカーの考え方を使用)ですか?
ここでは非常に基本的なNoSQLインジェクションを研究できます- https://ckarande.gitbooks.io/owasp-nodegoat-tutorial/content/tutorial/a1_-_sql_and_nosql_injection.html - -意図的に安全でない Nodegoatアプリケーション をインストールする場合、テストツールから利用できます。
このブログでは、バックエンドのNoSQLデータベースであるMongoDBを使用するMeteorと呼ばれるNode.jsフレームワークに関するディスカッションとビデオを投稿しています- http://blog.east5th.co/2016/03/21/nosql-インジェクションインモダンウェブアプリケーション/
原則は他のNoSQLデータベースに適用する必要があります。 MongoDB(およびRedis、HBase、CouchDB、Cassandraなどの他のNoSQLデータストア)の詳細については、このStackExchangeの回答を確認してください- https://security.stackexchange.com/a/96593/140 -こちらをチェックするために特にMongoDBに関する別のブログ投稿- http://www.technopy.com/mongodb-injection-how-to-hack-mongodb -html /
ペイロードリスト(別名ワードリスト)の詳細については、このプロジェクトを参照してください- https://github.com/fuzzdb-project/fuzzdb/tree/master/attack/no-sql-injection