mongodb nosql_“ NoSQL注入” – 40000个不安全的MongoDB数据库对我们行业意味着什么...

最新推荐文章于 2024-02-28 01:04:03 发布
最新推荐文章于 2024-02-28 01:04:03 发布
阅读量274 收藏
点赞数
文章标签: 数据库 java 大数据 人工智能 编程语言
原文链接:https://www.javacodegeeks.com/2015/02/nosql-injection-40000-unsecured-mongodb-databases-mean-industry.html
版权

mongodb nosql

这个消息到处都是 ……

重大安全警报,因为40,000个MongoDB数据库在互联网上不安全

安全性是一个经常被忽视的功能,直到为时已晚。 而且,为时已晚,如果不进行大量的重构工作,通常很难将其烘焙成一个完善的体系结构。

每个系统以及每个数据库总是容易受到攻击。 但是,大多数数据库的确提供了大量实现安全层的功能-MongoDB与此处的任何其他DBMS都没有不同 。 那么,这个巨大的安全漏洞怎么可能发生?

安全是一种文化问题。 公司要么在其DNA中具有安全性,要么没有。 对于可伸缩性,用户体验或软件工程的任何其他方面,也是如此。 我曾在安全意识完全相反的公司工作。 一些(在电子银行领域)是超妄想的,在应用程序的大约7层中实施了彻底的安全检查。 其他人则比较宽容,而管理层则将重点更多地放在营销上。 但是,没有任何经验证据,公司的安全意识与同一公司的后端导向之间存在一定的关联性,电子银行是一个非常后端导向的业务。

后端开发人员更加了解安全性

这太笼统了,可能对许多优秀的前端开发人员来说并不公平,但是安全性才是数据所在。 算法在哪里。 人们在哪里考虑约束,工作流程,批处理工作,会计,资金,……算法。 这些人关注所有用户 。 在系统上。 他们想保护它。 另一方面,他们可能会忽略可用性。

用户体验所在的地方几乎没有安全意识。 人们在哪里考虑布局,格式,可用性,样式……用户界面。 这些人专注于单个用户 。 关于他们的经验。 他们希望使用户感到容易。

(同样,可伸缩性也是如此)

后端技术发展非常缓慢并非偶然。 Java:20年了,我们终于有了lambda。 SQL:30年了,我们仍然没有简单的方法来重用代码。

同时,前端技术以“ reddit的速度”发展。 下一个炒作距离我们只有100业力,我们将把所有先前的技术都抛诸脑后,只是为了成为游戏的一部分。

显然,必须对安全性进行彻底的思考,以使其无法在快节奏的前端世界中生存。

MongoDB与它有什么关系?

当前事件实际上实际上与MongoDB没有直接关系(您可能在那里发现了同样多的不受保护MySQL实例)。 但这与MongoDB的销售和营销策略密切相关。 MongoDB过去进行了非常积极和成功的营销,声称RDBMS统治已经结束 –就像令人惊讶的对象数据库浮出水面之前RDBMS的统治一样。 好吧,我们都知道对象数据库或XML数据库的去向:

d8938bef47ea2f62ed0543dd9e35a483

这次,反RDBMS营销在前端开发人员中引起了很大的共鸣,因为JSON是他们最喜欢的数据表示格式,并且MongoDB承诺能够将数据直接从DOM存储到DB中 。 对于一些软件供应商来说,这不仅意味着“ DBA的终结” ,而且许多供应商也希望他们可以省略运营,甚至可以省略后端开发。 对于原型设计和简单应用程序显然有效的方法不适用于具有敏感数据的应用程序。

解决方案

解决方案是显而易见的。 同质性会扼杀您的业务。 您应该雇用各种不同类型的人员。 您应该在团队中拥有熟练的前端开发人员,后端开发人员,操作人员,DBA和安全专家。 您应该让他们一起努力,听听他们的意见,复习彼此的代码,互相学习。 因为他们每个人都对应用程序的一个完全不同但同样重要的方面有着强烈的关注和兴趣。

不要忽略任何这些方面。 因为如果这样做,并且如果它是安全的,并且如果您丢失了敏感的客户数据,那么您就不会继续经营下去,那么您将被起诉。

迷上了安全主题?

继续阅读有关…

翻译自: https://www.javacodegeeks.com/2015/02/nosql-injection-40000-unsecured-mongodb-databases-mean-industry.html

mongodb nosql

danpu0978
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nosql注入-mongodb
xdstuhq的博客
11-02 8664
mongodb数据库安全问题探究
nosql_manager_for_mongodb_pro_4.9.9.2_破解版
11-03
nosql_manager_for_mongodb_pro_4.9.9.2_破解版 这是一个功能强大的MongoDB操作软件 破解版,可以导入导出数据,欢迎下载
[NoSql注入] MongoDB学习
weixin_30772261的博客
09-17 136
0x00 安装 下载:http://dl.mongodb.org/dl/win32/x86_64 安装:http://www.runoob.com/mongodb/mongodb-window-install.html 0x01 MongoDB语法 我们先学习下MongoDB的使用,知己知彼,方能百战百胜,只有了解了对方,才能找寻弱点,一击击破 下面都是以PHP为例 数据库操作基...
Nosql 注入从零到一(MongoDB)
weixin_50464560的博客
08-12 298
https://xz.aliyun.com/t/9908
NoSQL 注入
LYJ20010728的博客
09-17 2495
NoSQL 注入基本概念NoSQLMongoDBMemcachedRedisMongoDB 初步MongoDB 基础概念解析数据库(Database)文档(Document)集合(Collection)MongoDB 基础语法解析MongoDB 创建数据库MongoDB 创建集合MongoDB 插入文档MongoDB 更新文档update 方法save 方法MongoDB 查询文档MongoDB 与 RDBMS Where 语句的比较MongoDB AND 条件MongoDB OR 条件AND 和 OR 联
Nosql inject注入
god_Zeo的安全博客
11-28 1314
最近主要在看那个 YApi 的注入漏洞,也是一个 mongodb注入 所以来写一下这个东西,其实现在越来越常见的Nosql注入
SOD.rar_MongoDB_sod.c_分布式文件数据库_读写_非关系型数据库
09-21
- **无模式设计**:与传统的关系型数据库不同,MongoDB允许动态 schema,这意味着每个文档可以有不同的字段,更便于处理结构不一致的数据。 - **文档存储**:MongoDB以BSON(Binary JSON)格式存储数据,它是JSON...
MongoDB 是一个开源的NoSQL数据库系统.zip
最新发布
07-05
MongoDB是一种流行的分布式文档型数据库,它采用了NoSQL数据模型,这意味着它不是基于表格的形式存储数据,而是类似于JSON的数据结构(如文档)。它的设计初衷是提供高性能、高可扩展性和灵活性,非常适合处理大规模...
mongodb-linux-i686-1.8.4.rar_MongoDB_nosql
09-20
作为NoSQL数据库的一员,MongoDB不采用传统的关系型数据库模型,而是采用了键值对、文档、集合和数据库的层次结构,这使得它在灵活性和可扩展性方面表现出色。 1. **文档数据库**:MongoDB的核心是文档,这些文档是...
NoSQL_Manager_for_MongoDB.rar
07-30
mongodb 客户端连接工具,安装后,覆盖执行文件,再输入随意内容进行破解.亲测可用.欢迎下载使用.
Nosql-MongoDB-injection-username-password-enumeration:使用此脚本,您可以枚举Nosqlmongodb注入易受攻击的Web应用程序的用户名和密码。
04-24
Nosql注入用户名和密码枚举脚本 使用此脚本,我们可以枚举Nosqlmongodb注入易受攻击的Web应用程序的用户名和密码。 利用标题:Nosql注入用户名/密码枚举。 作者:Kalana Sankalpa(Anon LK)。 网站: : 怎么跑 用法 nosqli-user-pass-enum.py [-h] [-u URL] [-up parameter] [-pp parameter] [-op parameters] [-ep parameter] [-sc character] [-m Method] 例子 python nosqli-user-pass-enum.py -u http://example.com/index.php -up username -pp password -ep username -op login:login,submit:submit
Mongodb注入攻击
01-30
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,文中涉及的攻击手法及其知识产权全部归原作者所有,我只是大自然的搬运工。未征得笔者同意,请勿转载。php下操作mongodb大致有以下两种方式1.用mongo类中相应的方法执行增查减改比如:此时,传递进入的参数是一个数组。2.用execute方法执行字符串比如:此时,传进方法execute的参数就是字符串变量$query特别的,此时的字符串书写语法为js的书写语
NoSQLAttack - MongoDB默认配置攻击和注入攻击工具
代码随想录
08-11 4394
NoSQLAttack 是一个用python编写的开源的攻击工具,用来暴露网络中默认配置mongoDB的IP并且下载目标mongoDB的数据,同时还可以针对以mongoDB为后台存储的应用进行注入攻击 这个攻击工具是基于tcstool的NoSQLMap和搜索引擎shodan,一些攻击的数据是来自于这两篇论文给予的启发和论文里面的例子Diglossia: Detecting Code Injection Attacks with Precision and Efficiency和No SQL, No Inje
php mongo 防注入,使用PHP怎么对MongoDB数据库进行拦截
weixin_35058762的博客
03-27 144
使用PHP怎么对MongoDB数据库进行拦截发布时间:2020-12-22 17:01:35来源:亿速云阅读:107作者:Leah今天就跟大家聊聊有关使用PHP怎么对MongoDB数据库进行拦截,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。复制代码 代码如下://这里采用默认连接本机的27017端口,当然你也可以连接远程主机如192.168...
MONGODB 的基础 NOSQL注入基础
m0_64180167的博客
11-22 1542
首先来学习一下nosql这里安装就不进行介绍 只记录一下让自己了解mongodb
nosql注入
m0_68976043的博客
02-28 1496
关系型数据库 mysql oracle sqlserver非关系型数据库 key-value redis MongoDB(not only sql)
mongodb数据库怎样注入攻击
weixin_42576467的博客
02-14 268
MongoDB是一种面向文档的数据库,它可以使用类似于JSON的BSON格式存储数据。在MongoDB中,注入攻击通常是通过插入恶意的BSON数据来执行恶意操作。这种攻击可能包括在查询中插入恶意代码,在数据库中修改或删除数据,或在数据库中插入恶意数据。为了防止MongoDB数据库受到注入攻击,应该使用参数化查询,并严格验证用户输入。应用程序应该使用最小特权原则,只给予用户必要的访问权限。 ...
MongDB学习笔记
JavaSupeMan的博客
07-05 456
是一种非关系型数据库,文档形式的存储 特点:文档数据库将数据以文档的形式存储,BSON格式,类似JSON,是一系列数据项的集合。每个数据项都有一个名称与对应的值,值既可以是简单的数据类型,如字符串/数字/日期等。也可以是复杂的类型。 ==优点:==数据结构要求不严格,表结构可变,不需要像关系型数据库一样需要预先定义表结构 ==缺点:==查询性能不高,缺乏统一的查询语法 应用场景:日志,web应用等 启动命令: mongod --dbpath D:\MongDB\data\db 创建管理员账号 4.Mo
MongoDB入门与实战指南:NoSQL数据库探索
MongoDB权威指南》是一本由北京麒麟网...《MongoDB权威指南》是一本适合MongoDB初学者和有一定经验的开发者深入学习和实践的实用教程,对于希望进入NoSQL领域或优化现有项目架构的人来说,是一份不可或缺的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值