سیستمهای پایگاه داده امروزه به وفور استفاده میشوند. به عنوان مثال بانکها برای دخیره اطلاعات تراکنشی و موجودی حساب ها از آنها استفاده میکنند، شرکتها اطلاعات مشتریان خود و فروشگاههای اینترنتی تمامی محصولات و تراکنشهای بانکی خود را داخل آن ذخیره میکنند. یکی از انواع سیستمهای پایگاهداده که در دنیا و خصوصا در کشور ایران استفاده میشود، MongoDB نام دارد. این سیستم یک پایگاهداده NoSQL است. پایگاهدادههای NoSQL برای ارتباط با برنامه از زبان SQL استفاده نمیکنند و به دلیل سهولت کار، توجه افراد زیادی را به خود جلب کردهاند. MongoDB معمولا روی پورت 27017 فعال است.
در بررسیهای انجام شده بر روی سیستمهای تحت MongoDB، به این نتیجه رسیدیم که اکثر طراحان سیستمهای مبتنی بر این پایگاهداده، نام کاربری و رمز عبور قرار نمیدهند. نبود هرگونه رمز عبوری باعث میشود افراد در سطح Admin به پایگاهدادهها دسترسی داشته باشند. این دسترسی به افراد اجازه هرگونه تغییرات دلخواه روی پایگاهدادهها را میدهد. اخیرا اخاذی های زیادی تحت استفاده از این مشکل امنیتی صورت گرفته است. قربانیان زیادی جهت بازگرداندن سیستم خود هزاران دلار به حساب نفوذگران واریز کردهاند تا پایگاهداده سیستم خود را بازیابی کنند.
روشهای کنترل و جلوگیری از این مشکل امنیتی به شرح ذیل است:
دانلود گزارش کامل
نظرات