MongoDB是一款受欢迎的NoSQL数据库系统,是利用程序及网站中所需内容的非常有用的文档数据存储引擎。但是,它的安全机制出现漏洞,可能被用于黑客的盗取数据的企图。下面我们将介绍这类漏洞的危险和如何避免这类漏洞酿成的侵害。
MongoDB的漏洞盗取数据利用了系统默许配置,可以让攻击者访问MongoDB服务器实例。大多数情况下,攻击者可以通过将用户名和口令设置为空来访问MongoDB实例,然后盗取存储的数据。另外,攻击者还可以用歹意软件来增加MongoDB服务器上的文档数据,从而更便捷地攻破系统保护。
为了避免MongoDB漏洞盗取数据,系统管理者应当满足以下所有要求:
1、首先应禁用MongoDB实例的外部访问。系统管理员可使用以下代码,更改MongoDB实例中服务器设置:
// Disable access to anything outside of the only host that should be will be able to access the service.
db.getSiblingDB(‘admin’).runCommand( {
setParameter: 1,
server: {
ipOnly: hostname
}
});
2、如果一定要使用远程访问,应当尽可能使用TLS(传输层安全性)来保证客户端和服务器之间的安全传输。可使用以下代码开启TLS加密:
// Enable TLS encryption
db.getSiblingDB(‘admin’).runCommand( {
setParameter: 1,
tls: {
mode: ‘require’
cipher: ‘blue’
}
});
3、还应确保MongoDB数据库实例已通过允许挑选程序限制外部访问。这可使用以下代码实现:
// Restricts access based on whitelist
db.getSiblingDB(‘admin’).runCommand( {
setParameter: 1,
whitelist: {
enabled: true
ip:
}
});
另外,MongoDB管理员还应当根据变化的需求定期更新系统和库的安全设置,以避免它被歹意软件攻击。
总而言之,MongoDB的人们和公司们要面临着由于漏洞盗取数据而酿成的被偷取隐私数据的危险。但实行正确的安全配置,利用一些代码,和定期检查系统,可以有效地避免这类漏洞的危害。
本文来源:https://www.yuntue.com/post/183148.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
