腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

FreeBuf

专栏作者

8153

文章

9347382

阅读量

351

订阅数

数据库安全之MongoDB渗透

数据库 mongodb 集合连接漏洞

本篇文章是MongoDB数据库信息泄露漏洞复现，记录了实际中常见的MongoDB数据库未授权访问漏洞并如何使用，主要分为七个部分：MongoDB简介、MongoDB安装、MongoDB基本操作、MongoDB相关工具使用、MongoDB漏洞复现、MongoDB实战和MongoDB防御措施。本篇文章由浅入深地介绍了MongoDB未配置访问认证授权导致的未授权访问漏洞。在学习MongoDB过程中也阅读了几十篇中英文MongoDB相关技术文章，最终按照作者我的思路进行总结，相关参考文章也在文末列出。此外，文中

2023-03-30

1.8K0

企业安全建设之自动化代码扫描

安全 mongodb 数据库 sql 云数据库 MongoDB

网上关于代码扫描的介绍无一不是在推荐基于语法语义分析的代码扫描工具，典型的代表就是fortify、Checkmarx。总结起来观点无非是, 目前市面上有基于正则表达式和基于语义分析的两种检测方式，基于正则表达式的传统代码安全扫描方案的缺陷在于其无法很好的“理解”代码的语义，而是仅仅把代码文件当作纯字符串处理。静态扫描商用产品都运用了语义分析、语法分析等程序分析技术静态分析层负责对代码文件进行“理解”，完成语义、语法层面的分析。能进行完整数据流分析，通过分析污点传播进行漏洞判定。

2019-12-23

1.2K0

OpenRASP梳理总结

网站 java mongodb html 数据库

RASP英文为 Runtime application self-protection，即运行时应用程序自我保护。“运行时应用程序自我保护”的概念由Gartner在2014年提出，含义是：对应用服务的保护不应该依赖于外部系统，应用应该具备自我保护的能力。这意味着，RASP在程序执行期间运行，使程序能够自我监控并识别有害的输入和行为。OpenRASP 是该技术的开源实现，它改变了防火墙依赖请求特征来拦截攻击的模式。

2019-11-06

1.4K0

未授权访问漏洞总结

网络安全安全云数据库 Redis mongodb 云数据库 MongoDB

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。

2019-07-29

3K0

Malcom：一款功能强大的图形化恶意软件通信分析工具

mongodb 云数据库 MongoDB 网络安全

Malcom这款工具可分析系统内的网络通信流量，并以图形化的形式将流量分析情况提供给用户，分析结果中将包含已知的恶意软件源，而这些信息将有助于安全研究专家对特定的恶意软件进行分析。

2019-03-08

1.1K0

知名OCR软件被曝泄露超过20万份客户文件

mongodb 安全数据库 xml

知名OCR软件ABBYY FineReader软件开发商的MongoDB服务器因配置错误导致超过20万份客户文件泄露。

2018-09-21

9880

MongoDB数据库意外暴露超过200万墨西哥公民的医疗健康数据

mongodb 数据库安全搜索引擎

最近，一个MongoDB数据库被发现可以通过互联网公开访问，其中包含了超过200万（2,373,764）墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。

2018-08-21

4670

BUF大事件：BlackHat2018拉斯维加斯举办；台积电三大工厂遭病毒感染

安全 mongodb 数据库

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，世界信息安全行业的最高盛会BlackHat在拉斯维加斯举办；台积电三大工厂接连遭病毒感染，敲响工控安全的警钟；MongoDB数据库泄漏200万墨西哥公民医疗保健数据。想要了解详情，来看本周的BUF大事件吧！

2018-08-21

1820

看网络犯罪分子如何通过手机游戏洗钱

游戏安全 mongodb 数据库

近期，安全专家发现了一个网络犯罪组织的洗钱链条，在整个洗钱环节中，网络犯罪分子使用了伪造的苹果账号和游戏账号来进行盗刷信用卡交易，并在各大在线论坛和游戏社区中出售这些游戏账号。

2018-07-31

1K0

巡风风险扫描开源系统的一些演变

开源 mongodb 数据分析

同程SRC团队开源巡风资产风险控制系统也有一段时间了，我们临时用它作为一个简单的soc平台来使用，期间也做了一些定制化开发，此次分享，权当做个笔记吧。基于巡风我们主要做了一下几个方面的工作：

2018-07-30

6300

MongoDB数据库遭大规模勒索攻击，被劫持26000多台服务器

mongodb 数据库

MongoDB数据库叕被攻击了。就在上周末，三个黑客团伙劫持了MongoDB逾26000多台服务器，其中规模最大的一组超过22000台。 “MongoDB启示录”再临？此次攻击由安全专家Dylan

2018-03-01

1.3K0

下一个猎杀目标 | 近期大量MySQL数据库遭勒索攻击

云数据库 SQL Server 数据库 mongodb

随着MongoDB, ElasticSearch, Hadoop, CouchDB和Cassandra服务器的的沦陷，MySQL数据库成了攻击者的下一个猎杀目标。他们劫持了数百个MySQL数据库（也可

2018-02-23

1.8K0

一场屠戮MongoDB的盛宴反思 | 超33000个数据库遭遇入侵勒索

mongodb 数据库安全网络安全

许多人没有想到，去年12月一件不起眼的小事，在新年伊始却演变成了一场屠杀。如今，受害的一方似乎正由于自身的疏忽和迟钝而显得愈发无力反抗，一个接一个倒下。截止本周三（1月11日），已经有20名以上的黑客加入到这场对MongoDB用户一边倒的碾压中来，遭到入侵、勒索的数据库超过了33，000个，并且这一数字还在不断上升中。（源自凯捷咨询的Niall Merrigan提供的数据）MongoDB是目前包括eBay，纽约时报，LinkedIn在内的全世界多家公司广泛采用的数据库。源于0.2比特币的勒索去年

2018-02-09

1.1K0

运维配置缺陷导致大量MongoDB数据信息遭泄露

云数据库 SQL Server 数据库 mongodb 安全网络安全

近日，黑客组织GhostShell泄露了大量的MongoDB数据库用户资料。数据遭到大量泄露据统计该组织目前泄露的数据已达3600万条之多。MongoDB作为一个基于分布式文件存储的数据库，其主要功能特性包括——面向集合存储，简单来说就是在MongoDB 中数据被分组存储在集合中，同时一个集合中可以存储无限多的文档。模式自由就是说在MongoDB 中集合中存储的数据是无模式的文档以及采用无模式存储数据。同时支持完全索引，也就说MongoDB几乎支持SQL中的大部分查询，并且具有强大的聚合工具以及使

2018-02-08

7620

让安全攻城狮增值的五大职业技能

安全 mongodb 数据库

网络安全攻城狮并非单纯的码农，他们需要的不仅是技术，还有安全以及相关行业的知识，因此Python、Hadoop、MongoDB以及其他一些大数据分析工具就派上了用场。 2010至2014年间，网络安全岗位增加91%，涨幅笑傲整个IT行业。这一需求也没有出现任何下降趋势，针对商业、政府的网络攻击威胁仍在攀升。根据Burning Glass Technologies发布的《2015年网络安全就业市场情报》数据显示，金融行业对网络安全人才的需求五年增长了137%，医疗领域增幅121%，零售行业中也达到了89

2018-02-07

8110

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态