Dimostrando che un MongoDB è configurato in modo errato e accessibile al pubblico

2

Se i database Mongo vengono visualizzati su www.Shodan.io , è la prova definitiva che sono accessibili pubblicamente?

C'è un modo per dimostrare senza dubbio che c'è un rischio senza effettivamente connettersi al server? (Questo shodan blog link contiene informazioni utili ma in realtà non conosco MongoDB).

    
posta DomBat 16.05.2016 - 12:08
fonte

2 risposte

3

Se è pubblicamente affrontato e non autenticato è facile come usare un client amministrativo MongoDB , collegare i dettagli del server e connettersi. A seconda della risposta del cliente, si proverebbe che è definitivo.

Questo è esattamente ciò che sta facendo Shodan. Ragno internet che crea collegamenti con tutto. E prova a scaricare le informazioni che possono ottenere nel loro database. Durante questo processo hanno tentato una connessione al server come un client MongoDB e se il loro client risponde correttamente raccolgono dati come DB, dimensioni, informazioni sul server, ecc.

    
risposta data 16.05.2016 - 19:47
fonte
2

Si noti che nel caso di MongoDB, la mancanza di autorizzazione alla shell è di progettazione. È possibile connettersi non autenticati a qualsiasi shell MongoDB. Tuttavia, si è limitati a vedere solo il numero di versione di mongo e se il nodo a cui si è connessi è primario o secondario. Se non si effettua l'autenticazione come account utente con privilegi per un determinato database, non è possibile effettuare query o eseguire operazioni. L'accesso a una shell mongo non è una prova sufficiente del fatto che il database sia "mal configurato".

Naturalmente, si può discutere se questo è un difetto di progettazione di MongoDB, e può certamente sostenere che tutte le istanze di Mongo dovrebbero autorizzare gli indirizzi IP che si connettono a loro, indipendentemente dal livello di autenticazione necessario per eseguire operazioni su una determinata istanza.

    
risposta data 16.05.2016 - 20:37
fonte

Leggi altre domande sui tag