设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

三名大学生发现数千个MongoDB未授权访问

2015-2-12 16:11| 发布者: 随便、先森。| 查看: 1276| 评论: 0|来自: 360安全播报

摘要: 三名来自德国萨尔大学的学生Jens Heyens、Kai Greshake及 Eric Petryka(三人同时是该校IT安全、隐私及责任中心的员工)研究发现,数千个作为商业服务器服务或网站后端的MongoDB数据库遭泄露。MongoDB是一个NoSQL的 ...

三名来自德国萨尔大学的学生Jens Heyens、Kai Greshake及 Eric Petryka(三人同时是该校IT安全、隐私及责任中心的员工)研究发现,数千个作为商业服务器服务或网站后端的MongoDB数据库遭泄露。

MongoDB是一个NoSQL的跨平台面向文档数据库。三名学生的调查显示,近40000的MongoDB实例被公开,其中一家法国电信供应商也受到影响,这家公司大约有800万条用户记录。

研究报告指出,“无需任何特殊工具或绕过任何安全措施,我们本可以读取并写入数千个数据库,包括敏感的客户信息或网店的实时后端等。”发生这种情况的原因有两个。第一,MongoDB默认专门在同一台物理机或虚拟机实例上运行。第二,安装MongoDB服务器的互联网接入文档及指南可能还不够清晰,尤其在激活接入控制、认证、传输加密机制的必要性方面。

报告中写道,“如果一名经验不足的管理员按照指南安装了一台MongoDB服务器,他很容易忽视激活安全机制的重要性。这会导致一个完全公开且易受攻击的数据库出现,导致任何人都可以访问甚至控制它。”

MongoDB默认在TCP端口27017上运行,这意味着攻击者只需要在网上运行一个端口扫描就可以找到公开可获得的数据库。这些数据库同时可通过Shodan搜索引擎识别出来。三名学生表示,确保数据库配置的正确性取决于MongoDB用户。

Rapid7公司的全球安全战略官Trey Ford指出,“这是对过去惨痛历史的重演,只不过这次‘以身试法’的是高级别的企业。他还指出,MongoDB的访问控制及加密服务应当默认为开启状态。

MongoDB首席信息官在博客中表示他们非常重视用户的安全。“我们的安全手册中详细讨论了安全的问题。安全检查表谈论了网络暴露的问题。因服务存放的位置不同(AWS、Azure、本地等),采取的安全措施也大大不同。此外,MongoDB管理服务用户可以启动警报检测他们的部署是否被公开。”


原文链接:http://www.securityweek.com/thousands-mongodb-databases-found-exposed-internet


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部