文章目录

  • 一、漏洞介绍
    • 1.1 漏洞成因
    • 1.2 漏洞危害
  • 二、漏洞利用
  • 三、防御建议

一、漏洞介绍

1.1 漏洞成因

  MongoDB服务安装后,默认未开启权限验证。且端口对外开放MongoDB服务。

1.2 漏洞危害

  攻击者无需认证连接数据库后对数据库进行任意操作(增、删、改、查高危动作),存在严重的数据泄露风险。

二、漏洞利用

Nmap扫描站点MongoDB的端口是否对公网开放:

安装配置MongoDB(方法略)

远程尝试登陆查看是否未限制:

执行数据库命令:

Windows可以使用命令行方式查看,也可以使用图形化管理工具连接测试(Robo 3T)
配置连接:

连接成功

三、防御建议

  1. 只在本地开启监听服务,使用—bind_ip 127.0.0.1绑定监听地址(本地使用);
  2. 禁止将MongoDB端口对公网开放,并在主机上通过防火墙限制访问源;
  3. 创建系统用户管理员账号,开启认证机制限制登录。

MongoDB未授权访问漏洞相关推荐

  1. MongoDB未授权访问漏洞记录(端口:27017,37017)

    一.漏洞危害 对外开放的MongoDB服务,未配置访问认证授权,无需认证连接数据库后对数据库进行任意操作(增.删.改.查高危动作),存在严重的数据泄露风险. 二.漏洞成因 MongoDB服务安装后,默 ...

  2. MongoDB 未授权访问漏洞利用

    点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产 ...

  3. 常见未授权访问漏洞详解

    参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...

  4. ZooKeeper 未授权访问漏洞利用

    点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提 ...

  5. 漏洞复现 - - - 未授权访问漏洞Redis

    目录 一,未授权访问漏洞概述 二,常见的未授权访问漏洞 Redis历史漏洞 三,Redis未授权访问 漏洞信息 Redis 简介 四,环境搭建 漏洞环境搭建 五,漏洞利用方法 实验环境 方法一 ​编辑 ...

  6. 未授权访问漏洞-Redis未授权访问漏洞

    文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...

  7. 二十八种未授权访问漏洞合集(暂时最全)

    目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

  8. 漏洞检测与防御:Redis未授权访问漏洞复现

    漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...

  9. 【应急类漏洞】————1、未授权访问漏洞总结

    前言 2018年5月,比特币勒索病毒 WannaCry 席卷全球,国内众多机构部门计算机系统瘫痪.根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植 ...

最新文章

  1. Java 集合框架(二)—— ArrayList
  2. 聚类分析matlab检验,「matlab聚类分析」聚类分析的Matlab 程序—系统聚类(附有案例分析) - 金橙教程网...
  3. 使用WatchService监控文件变化
  4. TF学习——TF之Tensorboard:Tensorflow之Tensorboard可视化简介、入门、使用方法之详细攻略
  5. Linux文件系统目录结构
  6. boost::basic_string_ref相关的测试程序
  7. Android启动流程
  8. Java 8中的StringJoiner与String.join的示例
  9. LeetCode刷题实战(2):Add Two Numbers
  10. 【Janino】Janino Java表达式计算引擎 案例
  11. redis 内存管理分析
  12. 【读书笔记《Android游戏编程之从零开始》】1.Android 平台简介与环境搭建
  13. 基于稀疏表示字典学习的图像超分辨率-杨建超论文解析
  14. 整车CAN通讯之canfd协议研究
  15. 高德地图导航简单实例
  16. c语言引用win api,C调用WinAPI及窗口过程
  17. ERP项目组员工年度工作总结2010(刘欣)
  18. 大数据能破案 从数据库侦查出新证据
  19. 2022-6-13 全O(1)的数据结构,两数相加,无重复字符的最长子串,寻找两个正序数组的中位数,盛最多水的容器,......
  20. 2010-2019,我,一个普通职场人的十年变迁

热门文章

  1. 龙族幻想服务器维护中怎么办,龙族幻想社团维护费用不足怎么办_龙族幻想社团维护费用解决攻略_玩游戏网...
  2. Spark学习笔记一
  3. linear polarized light and plane polarized light(线性偏振光和平面偏振光)
  4. H264解析sps提取宽高(好用)
  5. Mongodb 设置账号密码
  6. mysql limit 01怎么理解_MySQL limit实际用法的详细解析
  7. C++生成LNK文件及LNK文件简单解析
  8. oracle创建表和序列
  9. 商业 v. s. 自由 ——W*ndows v. s. 现代UNIX
  10. Linux 显示行数 number