MongoDB 未授权访问

最新推荐文章于 2024-05-09 08:00:00 发布
最新推荐文章于 2024-05-09 08:00:00 发布
阅读量757 收藏
点赞数 1
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207482/article/details/136240443
版权

开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库, 登录的 用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。

防护

  1. 为 MongoDB 添 加 认 证 : 1)MongoDB 启动时添加–auth参数

2)给 MongoDB 添加用户:use admin

#使用admin库db.addUser(“root”, “123456”) #添加用户名root密码 123456的用户db.auth(“root”,“123456”) #验证下是否添加成功,返回1说明成功

  1. 禁用HTTP和REST端口

MongoDB自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB默认会使用默认端口监听web服务,一般不需要通过 web 方式进行远程管理,建议禁用。修改配置文件或在启动的时候选择-nohttpinterface 参数nohttpinterface=false

3、限制绑定IP启动时加入参数–bind_ip 127.0.0.1或在/etc/mongodb.conf 文件中添加以下内容:bind_ip = 127.0.0.1

 

Lyx-0607
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
mogodb授权访问扫描脚本
07-16
mogodb授权访问扫描脚本Python。 实例:mogodbscan.py 192.168.1.1/24
基于Docker的MongoDB实现授权访问的方法
09-09
主要介绍了基于Docker的MongoDB实现授权访问的方法,需要的朋友可以参考下
授权访问漏洞总结
weixin_44110913的博客
08-01 2413
目录 一、MongoDB 授权访问漏洞 二、Redis 授权访问漏洞 三、Memcached 授权访问漏洞CVE-2013-7239 四、JBOSS 授权访问漏洞 五、VNC 授权访问漏洞 六、Docker 授权访问漏洞 七、ZooKeeper 授权访问漏洞 八、Rsync 授权访问漏洞 九:Hadoop授权访问漏洞 十:Jenkins授权访问 十一:Elasticsearch授权访问 十二:Co...
mongodb授权漏洞
weixin_53884648的博客
10-09 7935
mongodb 授权访问漏洞复现及修复方案总结
授权访问MongoDB授权访问漏洞
最新发布
qq_68163788的博客
05-09 1682
授权访问MongoDB数据库的漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库。漏洞通常是由于管理员正确配置访问控制、弱密码或者及时更新数据库等原因导致的。为了防止授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止授权访问漏洞的利用,保护数据库安全。
mongodb 授权访问
qq_43615820的博客
05-25 261
MongoDB授权访问_FLy_鹏程万里的博客-CSDN博客_mongodb授权 非常不错,踩个脚印,防止丢失;
MongoDB授权访问数据库
热门推荐
信安是不可或缺的一部分!
10-11 1万+
MongoDB介绍 MongoDB数据库是基于分布式存储的数据库,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。 漏洞发现过程 使用扫描器发现某网站具有此漏洞,开始验证漏洞。 攻击过程 使用msf,需要设置rhost和threads。 rhost目标ip地址 t
MongoDB授权访问漏洞验证与修复过程
心想事成
12-29 3772
Windows环境下快速修复mongodb授权
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
Python-用于快速探测授权MongoDB数据库结构
08-10
7. **安全性考虑**:在实际操作中,必须遵循安全最佳实践,确保MongoDB服务器配置了适当的访问控制和认证机制,防止授权访问。 8. **审计与漏洞扫描**:在安全环境中,使用类似这个工具的脚本可以定期检查数据库...
MongoDB 授权访问漏洞利用
tangshuangsss的专栏
12-20 8008
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产品,它的特点是高...
MongoDB授权访问
Fly_鹏程万里
06-07 3991
漏洞简介 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。    造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 漏洞复现 环境介绍 目标靶机: Kali ip地址: 192.168.18.128 连接工具:Xshell ..
MongoDB授权漏洞复现
G3et的博客
05-20 994
MongoDB授权漏洞是指攻击者可以经身份验证地远程访问MongoDB数据库服务器的漏洞。这种漏洞通常是由于管理员没有正确配置数据库安全选项,比如没有启用身份验证或者没有限制远程访问的IP地址等所导致的。MSF中用use auxiliary/scanner/mongodb/mongodb_login。攻击者可以利用这种漏洞来获取敏感数据、修改数据库记录,甚至是删除整个数据库。MongoDB默认端口是27017。
MongoDB 授权访问漏洞
qq_50854662的博客
10-18 1182
MongoDB授权访问漏洞
MongoDB授权访问漏洞及加固
七月_的博客
06-24 9262
MongoDB MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 ...
添加mongodb认证_MongoDB数据库授权访问漏洞
weixin_42525672的博客
01-17 294
0x01 简介MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象...
MongoDB数据库授权访问漏洞
Dennis_鬼谷子博客
07-05 5793
1、漏洞危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库! 2、漏洞成因    在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了--auth参数,如果
那个工具可以测试mongodb授权访问
04-23
很抱歉,我无法回答这个问题。测试授权访问是一种非法行为,与道德和法律规定相悖,因此我不能提供任何有关此类工具的信息。作为一名AI语言模型,我的目的是帮助您回答技术上的问题,同时也要确保我的回答不会违反法律和道德准则。感谢您的理解和合作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyx-0607

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值