MongoDB未授权访问漏洞及加固

最新推荐文章于 2024-07-30 11:27:21 发布
最新推荐文章于 2024-07-30 11:27:21 发布
阅读量9.2k 收藏 9
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wst0717/article/details/93479243
版权

MongoDB

  • MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。
  • MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。

漏洞成因

  • 未授权访问漏洞成因:Mongodb 在启动的时候提供了很多参数,如日志记录到哪个文件夹,是否开启认证等。造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。

漏洞验证

下载

wget https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-debian92-4.0.3.tgz

在这里插入图片描述

解压

tar -zxvf mongodb-linux-x86_64-debian92-4.0.3.tgz

在这里插入图片描述

移动到

mv mongodb-linux-x86_64-debian92-4.0.3/usr/local/mongodb

在这里插入图片描述

创建配置文件mongo.conf

  • 配置 vim mongo.conf

     dbpath=/mongodb/data
  logpath=/mongodb/logs/mongo.log
  logappend=true
  journal=true
  quiet=true
  port=27017
  fork=true #后台运行
  bind_ip=0.0.0.0 #允许任何IP进行连接
  auth=false #是否授权连接

添加路径

  • mongodb的可执行文件在/bin目录下,所以可以将其添加到path路径中
    在这里插入图片描述

启动服务

  • 执行./mongod
    在这里插入图片描述
验证
  • mongo ip:port
    在这里插入图片描述
安全建议

(1)在安全模式下启动MongoDB, 并且同时为需要访问数据库的用户建立相应的权限,合理的配置操作者的使用权限;
(2)使用 iptables 控制端口 27017 (默认端口) 的访问,不允许直接从互联网访问MongoDB的端口;
(3)对登录模块增加用户认证功能;
(4)对数据进行本地异地备份;

小蘑菇~~~
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MongoDB授权访问漏洞复现及加固
weixin_43061533的博客
12-15 2952
0x01 漏洞简述 MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。MongoDB服务安装后,默认开启权限验证。如果服务监听在0.0.0.0,则可远程无需授权访问数据库。 0x02 风险等级 严漏
mongodb授权漏洞
weixin_53884648的博客
10-09 8034
mongodb 授权访问漏洞复现及修复方案总结
Python武器库开发-武器库篇之Mongodb授权漏洞扫描器(五十六)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-16 963
MongoDB是一款非常受欢迎的开源NoSQL数据库,广泛应用于各种Web应用和移动应用中。然而,由于默认配置的不当或者管理员的疏忽,导致不少MongoDB数据库处于授权访问的状态,从而产生了潜在的安全风险。授权访问漏洞指的是在MongoDB数据库中,没有设置正确的访问控制权限,导致攻击者可以直接访问数据库,获取或者修改敏感数据。这种漏洞的出现主要有以下几个原因:默认配置问题:MongoDB在默认情况下是没有开启身份验证机制的,这就意味着任何人都可以直接连接数据库并执行操作。
授权访问MongoDB授权访问漏洞
qq_68163788的博客
05-09 3407
授权访问MongoDB数据库的漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库。漏洞通常是由于管理员正确配置访问控制、弱密码或者及时更新数据库等原因导致的。为了防止授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止授权访问漏洞的利用,保护数据库安全。
MongoDB授权访问
Fly_鹏程万里
06-07 4007
漏洞简介 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。    造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 漏洞复现 环境介绍 目标靶机: Kali ip地址: 192.168.18.128 连接工具:Xshell ..
数据库安全:MongoDB 授权访问漏洞.(27017端口)
最新发布
网络安全领域___专研者.
07-30 598
MongoDB是一个高性能的 NoSQL 数据库,它默认情况下不设置认证机制,这可能导致授权访问漏洞。如果MongoDB服务在没有配置任何安全措施的情况下启动,任何用户都可以通过默认端口对数据库进行操作,包括增、删、改、查等高危动作,且可以远程访问数据库.
mongodb授权漏洞加固.pdf
03-15
### MongoDB授权访问漏洞及其加固方法 #### 一、MongoDB简介与安装 MongoDB是一款开源的NoSQL数据库系统,采用文档数据模型,提供高性能、高可用性和易扩展性。由于其灵活的数据模型和分布式特性,在大数据处理...
基于Docker的MongoDB实现授权访问的方法
09-09
主要介绍了基于Docker的MongoDB实现授权访问的方法,需要的朋友可以参考下
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
MongoDB数据库授权访问漏洞
Fighter1028
01-15 2126
近日通过推获悉“北京某监控公司的数据库没设置密码,导致可随意访问大量公共摄像头的视频信息,漏洞估计还没修复,虽然IP被打码,只要扫描北京所有网段有授权访问漏洞的27017端口,存在漏洞的IP还是能找的到。实际操作也不复杂,安装namp后执行nmap -iL ip.txt -p 27017 --script=mongodb-info” 然后我们进行分析漏洞并复现此漏洞,图片虽然被打马赛克,但...
docker Mongodb授权访问漏洞解决
06-29 889
Mongodb授权访问漏洞【原理扫描】 扫描出来的如下: 详细描述 MongoDB是用C++编写的开源文档数据库。 在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongodb启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以--auth 参数启动),直到在admin.sy
MongoDB授权访问漏洞验证与修复过程
心想事成
12-29 3869
Windows环境下快速修复mongodb授权
修复mongodb授权访问漏洞漏洞编号:009711D8)
m0_49605579的博客
10-26 800
【代码】修复mongodb授权访问漏洞漏洞编号:009711D8)
mongodb 授权访问
qq_43615820的博客
05-25 280
MongoDB授权访问_FLy_鹏程万里的博客-CSDN博客_mongodb授权 非常不错,踩个脚印,防止丢失;
MongoDB 授权访问
m0_62207482的博客
03-02 910
mongoDB默认会使用默认端口监听web服务,一般不需要通过 web 方式进行远程管理,建议禁用。#使用admin库db.addUser(“root”, “123456”) #添加用户名root密码 123456的用户db.auth(“root”,“123456”) #验证下是否添加成功,返回1说明成功。开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库, 登录的 用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
MongoDB 授权访问漏洞复现
m0_58596609的博客
01-06 2539
MongoDB 授权访问漏洞复现
MongoDB 授权访问漏洞学习
ximo的博客
05-14 748
漏洞简介 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 造成授权访问的根本原因就在于启动 Mongodb 的时候设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 环境搭建 这里使用的是kali linux。 dock
MongoDB授权漏洞加固指南与安装教程
MongoDB授权漏洞加固是一个关于确保MongoDB数据库服务器安全的重要议题,特别是在处理敏感数据时。该文档提供了针对MongoDB 3.2版本的一个具体指南,包括了以下几个关键步骤: 1. **MongoDB安装**: - 文档首先...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值