MongoDB未授权访问漏洞
文章目录
- 一、漏洞介绍
- 1.1 漏洞成因
- 1.2 漏洞危害
- 二、漏洞利用
- 三、防御建议
一、漏洞介绍
1.1 漏洞成因
MongoDB服务安装后,默认未开启权限验证。且端口对外开放MongoDB服务。
1.2 漏洞危害
攻击者无需认证连接数据库后对数据库进行任意操作(增、删、改、查高危动作),存在严重的数据泄露风险。
二、漏洞利用
Nmap扫描站点MongoDB的端口是否对公网开放:
安装配置MongoDB(方法略)
远程尝试登陆查看是否未限制:
执行数据库命令:
Windows可以使用命令行方式查看,也可以使用图形化管理工具连接测试(Robo 3T)
配置连接:
连接成功
三、防御建议
- 只在本地开启监听服务,使用—bind_ip 127.0.0.1绑定监听地址(本地使用);
- 禁止将MongoDB端口对公网开放,并在主机上通过防火墙限制访问源;
- 创建系统用户管理员账号,开启认证机制限制登录。
MongoDB未授权访问漏洞相关推荐
- MongoDB未授权访问漏洞记录(端口:27017,37017)
一.漏洞危害 对外开放的MongoDB服务,未配置访问认证授权,无需认证连接数据库后对数据库进行任意操作(增.删.改.查高危动作),存在严重的数据泄露风险. 二.漏洞成因 MongoDB服务安装后,默 ...
- MongoDB 未授权访问漏洞利用
点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产 ...
- 常见未授权访问漏洞详解
参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...
- ZooKeeper 未授权访问漏洞利用
点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提 ...
- 漏洞复现 - - - 未授权访问漏洞Redis
目录 一,未授权访问漏洞概述 二,常见的未授权访问漏洞 Redis历史漏洞 三,Redis未授权访问 漏洞信息 Redis 简介 四,环境搭建 漏洞环境搭建 五,漏洞利用方法 实验环境 方法一 编辑 ...
- 未授权访问漏洞-Redis未授权访问漏洞
文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...
- 二十八种未授权访问漏洞合集(暂时最全)
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...
- 漏洞检测与防御:Redis未授权访问漏洞复现
漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...
- 【应急类漏洞】————1、未授权访问漏洞总结
前言 2018年5月,比特币勒索病毒 WannaCry 席卷全球,国内众多机构部门计算机系统瘫痪.根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植 ...
最新文章
- django 中文乱码或不识别
- 构造函数调用虚函数先从子类搜索同名函数
- 15、Power Query-行列管理实例应用
- 网络防火墙单向和双向_单向晶闸管与双向晶闸管之间的不同之处
- 算法训练 连续正整数的和
- 中国中小微企业云服务市场专题分析2020
- Linux系统编程:使用mutex互斥锁和条件变量实现多个生成者和消费者模型
- 拒绝做思想的巨人,行动上的矮子
- linux内核完全剖析0.11,linux0.11内核完全剖析 - ramdisk.c
- 退出域不能够重新加入域,郁闷呀
- 【X264系列】之不同强度的printf
- sql server 更新语句
- 电商数据库设计及架构优化实战(一) - 制定数据库开发规范
- 使用shadow dom封装web组件
- 图书销售系统系统设计说明书
- Notepad++删除空白行
- <数据结构>停车场管理系统,利用栈和队列实现,包含纯c语言版和C++版的全注释源码
- python全栈开发包括那些_什么是全栈工程师?有哪些知识?
- SRP Batcher:提升您的渲染性能
- 数据库存储系统应用,超市小票系统