Se i database Mongo vengono visualizzati su www.Shodan.io , è la prova definitiva che sono accessibili pubblicamente?
C'è un modo per dimostrare senza dubbio che c'è un rischio senza effettivamente connettersi al server? (Questo shodan blog link contiene informazioni utili ma in realtà non conosco MongoDB).
Se è pubblicamente affrontato e non autenticato è facile come usare un client amministrativo MongoDB , collegare i dettagli del server e connettersi. A seconda della risposta del cliente, si proverebbe che è definitivo.
Questo è esattamente ciò che sta facendo Shodan. Ragno internet che crea collegamenti con tutto. E prova a scaricare le informazioni che possono ottenere nel loro database. Durante questo processo hanno tentato una connessione al server come un client MongoDB e se il loro client risponde correttamente raccolgono dati come DB, dimensioni, informazioni sul server, ecc.
Si noti che nel caso di MongoDB, la mancanza di autorizzazione alla shell è di progettazione. È possibile connettersi non autenticati a qualsiasi shell MongoDB. Tuttavia, si è limitati a vedere solo il numero di versione di mongo e se il nodo a cui si è connessi è primario o secondario. Se non si effettua l'autenticazione come account utente con privilegi per un determinato database, non è possibile effettuare query o eseguire operazioni. L'accesso a una shell mongo non è una prova sufficiente del fatto che il database sia "mal configurato".
Naturalmente, si può discutere se questo è un difetto di progettazione di MongoDB, e può certamente sostenere che tutte le istanze di Mongo dovrebbero autorizzare gli indirizzi IP che si connettono a loro, indipendentemente dal livello di autenticazione necessario per eseguire operazioni su una determinata istanza.