飞将军的女卫【全网MongoDB数据库泄露数据量高达595.2TB 】—-qieerxi,农村办厂项目,卖花挣钱吗,剑网3手游

网络干货 litianseo 6个月前 (06-26) 41次浏览 已收录 0个评论

正文:

  全网 MongoDB 数据库泄露数据量高达 595.2TB  
知名设备安全搜索引擎 Shodan 的创始人 John Matherly 表示,全网 MongoDB 数据库泄露数据量高达 595.2TB。其中原因多是为 MongoDB 版本过于老旧或是随意放在公网没有经过身份验证。
风险描述
MongoDB 是一个不错的开源 SQL 数据库,许多公司如“纽约时报”、“易趣”、“Foursquare”,都采用了这种数据库。当然,在中国的使用案例也很多,这点大家从安全漏洞报告平台的海量上报中就能看出。
MongoDB 的最新版本是 3.0.4,而直到 2.4.14 版本的 MongoDB 还默认监听的是 0.0.0.0 的地址,也就是说接受来自公网的直接访问。
自 2012 年 Roman Shtylman 提出这个漏洞以来,到现在还有不少躺枪的厂商,况且后来 Roman Shtylman 还发现不少 MongoDB 连基本的认证都没装。RMongoDB 漏洞版本没有在 mongodb.conf 文件里配置 bind_ip 127.0.0.1,这会让服务器暴露在公网里,犹如没穿衣服的少女处于虎视眈眈的大汉之中。正确的做法是尽可能把外网开放关掉,在管理需要的时候再开放,甚至干脆就不开放。MongoDB2.6 也可能存在问题。
大多数暴露的数据库运行在云服务器上,如亚马逊、数字海洋(Digital Ocean)之类的云服务商。Roman Shtylman 认为这是因为云镜像并不会经常更新,这才导致了数据版本老旧,以及不安全版本软件的部署。
大多不设防
Roman Shtylman 的团队并不是第一次留意到 MongoDB 的安全,在 2015 年二月,他们曾宣布近四万的 MongoDB 实例容易受到网络攻击。在德国萨尔州大学的三名学生,在数千 WEB 服务器上发现 MongoDB 数据库运行在外网的 TCP 27017 端口,并没有适当的防御措施。
德国的专家小组报告说,他们不使用任何特殊的黑客工具,就可以轻易对这类 MongoDB 数据库进行读写操作。
相关阅读
三名德国学生发现,约 40000 个 MongoDB 数据库在无任何安全保护的情况下暴露于互联网,攻击者可以轻而易举的获得这些数据库的控制权限。查看更多
*参考来源:SA,由 FreeBuf 小编 dawner 翻译整理,转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)飞将军的女卫,qieerxi

———————————-

相关阅读:
农村办厂项目,卖花挣钱吗,小野寺梨纱 小野寺梨紗作品番号全集

  白玉堂前事已非,缁尘漠漠翠禽飞。谁知今夜江南月,还向寒村照素衣。

  亢仓《大唐新语》云:道家有庚桑子者,世无其书。开元末,襄阳处士王源,撰《亢仓子》两卷以补之。源为之序,序云:庄子谓之庚桑,《史记》作亢桑子,《列子》作亢仓子,其实一也。源乃取庄子《庚桑楚》一篇为本,更取诸子文义相类者而成之,亦行于世。又柳子厚《辩亢仓子》云:太史公为《庄周列传》,称其为书畏 http://www.seoshenzhen.com/webjishu/4156/累亢桑子,皆空言无事实,今世有《亢桑子》书,其首篇出庄子而益以庸言,盖周所云者尚不能有事实。又况取其语而益之者,其为空言尤也。刘向班固录书无《亢仓子》,而今之为术者,乃始为之传注以教于世,不亦惑乎?唐《艺文志》以为王士元。
“那又怎样?梵儿在我眼里,永远都是个孩子!”冰漪好不容易稳住身型,嗔怪另外看了眼身边另外丈夫,亚伟尴尬一笑顿时不敢再出声。——.http://www.seoshenzhen.com/webjishu/4159/–
  同心士深圳振动盘剑网 3 手游


32w.net , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:http://www.32w.net/ganhuo/631.html
飞将军的女卫【全网MongoDB数据库泄露数据量高达595.2TB 】—-qieerxi,农村办厂项目,卖花挣钱吗,剑网3手游
喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址