T

Mongodb注入攻击

Th1nk / 2014-11-19

关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章

php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,文中涉及的攻击手法及其知识产权全部归原作者所有,我只是大自然的搬运工。未征得笔者同意,请勿转载。

Z

MongoDB安全配置

zhangsan / 2014-07-01

1.MongoDB安装时不添加任何参数,默认是没有权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库,需以--auth参数启动。

2.在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息。当admin.system.users一个用户都没有时,即使mongod启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以--auth 参数启动),直到在admin.system.users中添加了一个用户。

Attacking MongoDB

瞌睡龙 / 2014-01-10

本文主要来自于HITB Ezine Issue 010中的《Attacking MongoDB》

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。他支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是他支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。

投稿

随机分类

IoT安全 文章:29 篇
数据安全 文章:29 篇
Web安全 文章:248 篇
软件安全 文章:17 篇
业务安全 文章:29 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Jasper

回@@师傅:楼主用的LDAP实现的RCE,所以需要JDK版本更高一些;实际上如果

J

ja00see

师傅你好,我在创建的时候不管用extractor-java脚本还是手工使用文章中

Jasper

一直在看su18师傅的文章hh

V

vita_ra

好好好

C

Carrie

佬 文章里的图片都显示不了了

RSS订阅