NoSQL INSecurity: Preview and Basic Attacks
Cuando hablamos de bases de datos NoSQL, lo primero que pensamos es en rendimiento, flexibilidad y escalabilidad, las características propias y necesarias de las bases de datos utilizadas por los gigantes de Internet como Adobe, Amazon, Ebay, Twitter, Google, Netflix.
Pero analizando los features de bases de datos NoSQL como MongoDB, Cassandra, CouchDB, Hbase, Redis o Riak podemos darnos cuenta a primera vista que las medidas de seguridad que poseen son insuficientes o están pensadas para bases de datos utilizadas en ambientes "trusted", donde la posibilidad de ataques sea ínfima y existan otras medidas de protección por fuera del nivel de base de datos.
Ahora, ¿como hacemos para detectar las debilidades de seguridad de una determinada instalación de base de datos NoSQL para poder explotarlas (o para poder remediarlas y hacer nuestra base de datos NoSQL mas segura)?
Una vez identificada la base NoSQL objetivo de nuestra evaluación.
Contenido completo en fuente original Hacking4BadPentesters
Pero analizando los features de bases de datos NoSQL como MongoDB, Cassandra, CouchDB, Hbase, Redis o Riak podemos darnos cuenta a primera vista que las medidas de seguridad que poseen son insuficientes o están pensadas para bases de datos utilizadas en ambientes "trusted", donde la posibilidad de ataques sea ínfima y existan otras medidas de protección por fuera del nivel de base de datos.
Ahora, ¿como hacemos para detectar las debilidades de seguridad de una determinada instalación de base de datos NoSQL para poder explotarlas (o para poder remediarlas y hacer nuestra base de datos NoSQL mas segura)?
Puertos utilizado
Empecemos por lo básico: ¿cuales son los puertos default que utilizan las bases de datos NoSQL mas conocidas?:- MongoDB: 27017, 28017, 2780
- Cassandra: 9160
- CouchDB: 5984
- Hbase: 9000
- Redis: 6379
- Riak: 8098
Una vez identificada la base NoSQL objetivo de nuestra evaluación.
Contenido completo en fuente original Hacking4BadPentesters
Via: blog.segu-info.com.ar
NoSQL INSecurity: Preview and Basic Attacks
Reviewed by Zion3R
on
15:38
Rating: