文章目录

  • 一、漏洞介绍
    • 1.1 漏洞成因
    • 1.2 漏洞危害
  • 二、漏洞利用
  • 三、防御建议

一、漏洞介绍

1.1 漏洞成因

  MongoDB服务安装后,默认未开启权限验证。且端口对外开放MongoDB服务。

1.2 漏洞危害

  攻击者无需认证连接数据库后对数据库进行任意操作(增、删、改、查高危动作),存在严重的数据泄露风险。

二、漏洞利用

Nmap扫描站点MongoDB的端口是否对公网开放:

安装配置MongoDB(方法略)

远程尝试登陆查看是否未限制:

执行数据库命令:

Windows可以使用命令行方式查看,也可以使用图形化管理工具连接测试(Robo 3T)
配置连接:

连接成功

三、防御建议

  1. 只在本地开启监听服务,使用—bind_ip 127.0.0.1绑定监听地址(本地使用);
  2. 禁止将MongoDB端口对公网开放,并在主机上通过防火墙限制访问源;
  3. 创建系统用户管理员账号,开启认证机制限制登录。

MongoDB未授权访问漏洞相关推荐

  1. MongoDB未授权访问漏洞记录(端口:27017,37017)

    一.漏洞危害 对外开放的MongoDB服务,未配置访问认证授权,无需认证连接数据库后对数据库进行任意操作(增.删.改.查高危动作),存在严重的数据泄露风险. 二.漏洞成因 MongoDB服务安装后,默 ...

  2. MongoDB 未授权访问漏洞利用

    点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产 ...

  3. 常见未授权访问漏洞详解

    参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...

  4. ZooKeeper 未授权访问漏洞利用

    点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提 ...

  5. 漏洞复现 - - - 未授权访问漏洞Redis

    目录 一,未授权访问漏洞概述 二,常见的未授权访问漏洞 Redis历史漏洞 三,Redis未授权访问 漏洞信息 Redis 简介 四,环境搭建 漏洞环境搭建 五,漏洞利用方法 实验环境 方法一 ​编辑 ...

  6. 未授权访问漏洞-Redis未授权访问漏洞

    文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...

  7. 二十八种未授权访问漏洞合集(暂时最全)

    目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

  8. 漏洞检测与防御:Redis未授权访问漏洞复现

    漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...

  9. 【应急类漏洞】————1、未授权访问漏洞总结

    前言 2018年5月,比特币勒索病毒 WannaCry 席卷全球,国内众多机构部门计算机系统瘫痪.根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植 ...

最新文章

  1. django 中文乱码或不识别
  2. 构造函数调用虚函数先从子类搜索同名函数
  3. 15、Power Query-行列管理实例应用
  4. 网络防火墙单向和双向_单向晶闸管与双向晶闸管之间的不同之处
  5. 算法训练 连续正整数的和
  6. 中国中小微企业云服务市场专题分析2020
  7. Linux系统编程:使用mutex互斥锁和条件变量实现多个生成者和消费者模型
  8. 拒绝做思想的巨人,行动上的矮子
  9. linux内核完全剖析0.11,linux0.11内核完全剖析 - ramdisk.c
  10. 退出域不能够重新加入域,郁闷呀
  11. 【X264系列】之不同强度的printf
  12. sql server 更新语句
  13. 电商数据库设计及架构优化实战(一) - 制定数据库开发规范
  14. 使用shadow dom封装web组件
  15. 图书销售系统系统设计说明书
  16. Notepad++删除空白行
  17. <数据结构>停车场管理系统,利用栈和队列实现,包含纯c语言版和C++版的全注释源码
  18. python全栈开发包括那些_什么是全栈工程师?有哪些知识?
  19. SRP Batcher:提升您的渲染性能
  20. 数据库存储系统应用,超市小票系统

热门文章

  1. SSL、openSSL、CA
  2. 词云和穷爸爸、富爸爸
  3. 发票查询,验证码无法刷新问题解决
  4. 尼日利亚区块链专家认为加密货币可提振非洲经济
  5. 条件极值(拉格朗日乘数法)_Simplelife_新浪博客
  6. 【笔记】一条SQL,求同比
  7. 报错安装c++ error unrecognized command line option ‘ -mno-avx512vbmi
  8. Java之字符类型char
  9. 【一句日历】2019年2月
  10. 汇编指令: JO、JNO、JB...