MongoDB数据库未授权访问漏洞

  • A+
所属分类:漏洞复现
摘要

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。

0x01 简介

​ MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。

​ MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似

json格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系

数据库单表查询的绝大部分功能,而且还支持对数据建立索引。

0x02 漏洞复现

探测服务:

MongoDB数据库未授权访问漏洞

漏洞验证:

MongoDB数据库未授权访问漏洞

使用第三方客户端连接:

MongoDB数据库未授权访问漏洞

0x03 修复建议

1、修改默认端口

修改默认的mongoDB端口(默认为: TCP 27017)为其他端口

2、不要开放服务到公网

3、禁用HTTP和REST端口

4、为MongoDB添加认证

MongoDB启动时添加--auth参数、为MongoDB添加用户

weinxin
我的微信
这是我的微信扫一扫

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: