JN_0006:MongoDB未授权访问漏洞处理

最新推荐文章于 2024-05-09 08:00:00 发布
最新推荐文章于 2024-05-09 08:00:00 发布
阅读量131 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/eliteboy/p/10715418.html
版权

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库。

2.【修复建议】:临时方案:配置AUTH,做好访问认证。打开MongoDB配置文件(.conf),设置为auth=true;

修改访问端口和指定访问ip。使其只监听私有IP(或本地IP),不监听任何公网IP或DNS;

官方方案:具体可参考:https://docs.mongodb.com/manual/security/

 

具体解决方法:

# 方法一

只要在启动时加一个参数bind_ip即可
mongod --bind_ip 127.0.0.1,10.0.133.14

# 方法二
在/etc/mongodb.conf文件中添加以下内容:
bind_ip = 127.0.0.1,10.0.133.14
这样之后,MongoDB服务端只有127.0.0.1和10.0.133.14这两个 IP 可以访问了。

 

转载于:https://www.cnblogs.com/eliteboy/p/10715418.html

weixin_30472035
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mongodb_cluster_shell:mongodb集群部署脚本
06-17
MongoDB 提供了身份验证、授权和加密等功能来保护数据。 9. **监控与日志**:集群运行时,需要监控性能指标和日志,以便及时发现并解决问题。MongoDB 提供了内置的监控工具,如`db.serverStatus()`和日志文件,同时...
MongoDB授权访问漏洞验证与修复过程
心想事成
12-29 3817
Windows环境下快速修复mongodb授权
修复mongodb授权访问漏洞漏洞编号:009711D8)
m0_49605579的博客
10-26 781
【代码】修复mongodb授权访问漏洞漏洞编号:009711D8)
授权访问MongoDB授权访问漏洞
qq_68163788的博客
05-09 2322
授权访问MongoDB数据库漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库漏洞通常是由于管理员正确配置访问控制、弱密码或者及时更新数据库等原因导致的。为了防止授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止授权访问漏洞的利用,保护数据库安全。
常见授权访问漏洞修复
qq_41945550的博客
06-02 4633
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库
授权访问MongoDB修复方案
fengxioabai的博客
03-20 902
授权访问MongoDB修复方案。
MongoDB授权漏洞复现
G3et的博客
05-20 1017
MongoDB授权漏洞是指攻击者可以经身份验证地远程访问MongoDB数据库服务器的漏洞。这种漏洞通常是由于管理员没有正确配置数据库安全选项,比如没有启用身份验证或者没有限制远程访问的IP地址等所导致的。MSF中用use auxiliary/scanner/mongodb/mongodb_login。攻击者可以利用这种漏洞来获取敏感数据、修改数据库记录,甚至是删除整个数据库MongoDB默认端口是27017。
curso_mongodb_20151029:MongoDB课程
04-29
#Curso de MongoDB ## Diapositivas 库索·德·蒙戈 ## Recursos MongoDB文件 MongoDB Java驱动程序 Spring Data MongoDB MongoDB地理空间功能简介
M101J_MongoDB:MongoDB Java开发人员课程
05-01
适用于Java开发人员的MongoDB-M101J @作者劳拉·乌兹卡特吉 该存储库包含在提供的课程中M101J-MongoDB为Java开发人员开发的所有材料。 完成所有这些工作是为了完成课程和讲座。 详细内容如下: Week_1:简介和...
mongo_bench:MongoDB 的基准测试工具
07-14
mongo_bench MongoDB 的基准测试工具。 该工具执行读写测试(使用 insert() 和 find())。 测试数据由工具根据定义的“str_cnt”的数量生成,即根据定义的“str_cnt”创建 1 ... n 个 UUID 字符串元素。 该工具将...
kippo_mongodb:Mongodb 对 Kippo 蜜罐的支持
06-28
Kippo_Mongodb Mongodb 对 Kippo 蜜罐的支持 ##用法 取消对 create.js 中的行的注释并运行它以创建数据库数据库用户和集合 mongo create.js 你可以编辑 create.js 来改变它的值 将文件mongodb.py复制到...
mongodb授权漏洞
weixin_53884648的博客
10-09 7993
mongodb 授权访问漏洞复现及修复方案总结
MongoDB数据库授权访问漏洞及加固
fangfengzhen115的专栏
01-08 3439
https://help.aliyun.com/knowledge_detail/37451.html近日安全团队经检测发现部分阿里云用户存在MongoDB数据库授权访问漏洞漏洞危害严重,可以导致数据库数据泄露或被删除勒索,从而造成严重的生产事故。为保证您的业务和应用的安全,提供以下修复漏洞指导方案。具体漏洞详情如下:1.漏洞危害开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登
MongoDB 安全权限访问控制
xp5xp6的博客
10-24 3122
麻蛋,终于貌似搞定了用户管理的问题: 1.按照http://www.yeayee.com/article-6671969-1.html后半部分,采用正确的安装姿势,可能在子进程过程中会出现错误,但是不影响配置; 2.按照下面红色流程,逐一进行配置,则可行,否则,嘿嘿嘿...,倒腾了一天,就为了设一道门,值得!   遇到类似问题搞不定的可以加群询问哦!     1.查看mongodb
mongodb、tomcat、activemq漏洞修复
weixin_45552215的博客
04-17 1047
将后边的--bind_ip_all --auth修改成--bind_ip 127.0.0.1。Mongodb Server 输入验证错误漏洞(CVE-2021-20330);MongoDB Server 日志条目错误漏洞(CVE-2021-20333);Mongodb Server 输入验证错误漏洞(CVE-2021-20330);Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);
MongoDB授权访问漏洞及加固
七月_的博客
06-24 9270
MongoDB MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 ...
mongodb docs should be a list: {user_id: "1234", user_name: "杨江鑫", org_id: "1234", org_name: "yhx", ip: "1.0.0.0", app
最新发布
05-30
根据您的问题,我理解您是在询问 MongoDB 中文档的格式是否应该是一个列表,并且给出了一个示例。根据示例,MongoDB 中的文档应该是一个字典,包含多个键值对。每个键值对表示一个字段和该字段的值。在示例中,文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值