360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

Mongodb 配置不当

WASC Threat Classification

发现时间:

2014-09-03

漏洞类型:

权限许可和访问控制

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:
目标存在Mongodb 配置不当问题,导致可直接访问Mongodb。
危害:
可能导致数据泄露等危害
解决方案:

1. 安装的时候加--auth,并立即在admin数据库创建一个用户
默认情况下MongoDB是无需验证的,所以这是至关重要的一步
2. 可以考虑安装的时候修改端口和指定访问ip
具体根据实际情况来设定,也可以直接在服务器防火墙上做
3. 安装的时候建议加上--nohttpinterface取消默认的一个网页管理方式
默认的web管理一般不会用,且很多人不知道,最好关闭
4. 管理用户处理
因需要在admin中建立一个管理账户用于管理,最好是设置强密码,但是不要给其他程序使用
5. MongoDB服务运行账户
windows下可以使用network service 或者新建一个用户,使用默认的USERS组,然后添加给予数据库文件及日志存储目录的写权限,并建议取消对cmd等程序的执行权限。
linux下新建一个账户,给予程序的执行权限和数据库文件及日志目录的读写权限,并建议取消对sh等程序的执行权限。
6. 控制好网站或者其他程序使用的连接用户权限
网站或者其他程序使用的用户只给予对应库的权限,不要使用admin数据库中的管理账户。

常用Mangodb命令

1. 添加用户

use admin

db.addUser("test","test")

2. 显示所有数据库

show dbs

3. 使用某个数据库

use test

4. 连接数据库

mongo test -uroot -p123456

5. 添加用户认证

db.auth("username","password")

6. 查看用户

db.system.users.find()


如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论