MongoDB未授权访问漏洞

2020/08/17 15:18 · 未授权访问 ·  原创文章 · 91阅读 · 0评论

服务简介

MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。MongoDB默认使用端口27017.

产生原因

MongoDB服务安装后,默认未开启权限验证。如果服务监听在0.0.0.0,则可远程无需授权访问数据库。

3.0之前版本的MongoDB,默认监听在0.0.0.0,3.0及之后版本默认监听在127.0.0.1。

3.0之前版本,如未添加用户管理员账号及数据库账号,使用--auth参数启动时,在本地通过127.0.0.1仍可无需账号密码登陆访问数据库,远程访问则提示需认证;

3.0及之后版本,使用--auth参数启动后,无账号则本地和远程均无任何数据库访问权限。

漏洞利用

检测到MongoDB未授权访问漏洞,直接使用Robo 3T工具连接即可。

修复方法

1)设置配置文件,绑定在本地端口

vim /etc/mongodb.conf

bind_ip = 127.0.0.1

2)添加管理员账号,启动时增加--auth参数。

您可能感兴趣的文章

本文地址:https://www.ouyangxiaoze.com/2020/08/637.html
版权声明:本文为原创文章,版权归 欧阳小泽 所有,欢迎分享本文,转载请保留出处!

文件下载

boke112导航_独立博客导航平台

上一篇:

 发表评论


表情