‫ آسیب­ پذیری پایگاه ­داده MongoDB

سیستم‌های پایگاه­ داده امروزه به وفور استفاده می­شوند. به عنوان مثال بانک‌ها برای دخیره اطلاعات تراکنشی و موجودی حساب ­ها از آن­ها استفاده می‌کنند، شرکت‌ها اطلاعات مشتریان خود و فروشگاه‌های اینترنتی تمامی محصولات و تراکنش‌های بانکی خود را داخل آن ذخیره می‌کنند. یکی از انواع سیستم‌های پایگاه‌داده که در دنیا و خصوصا در کشور ایران استفاده می‌شود، MongoDB نام دارد. این سیستم یک پایگاه‌داده NoSQL است. پایگاه‌داده­های NoSQL برای ارتباط با برنامه از زبان SQL استفاده نمی‌کنند و به دلیل سهولت کار، توجه افراد زیادی را به خود جلب کرده‌اند. MongoDB معمولا روی پورت 27017 فعال است.

در بررسی‌های انجام شده بر روی سیستم‌های تحت MongoDB، به این نتیجه رسیدیم که اکثر طراحان سیستم‌های مبتنی بر این پایگاه‌داده، نام کاربری و رمز عبور قرار نمی‌دهند. نبود هرگونه رمز عبوری باعث می‌شود افراد در سطح Admin به پایگاه‌داده‌ها دسترسی داشته باشند. این دسترسی به افراد اجازه هرگونه تغییرات دلخواه روی پایگاه‌داده‌ها را می‌دهد. اخیرا اخاذی های زیادی تحت استفاده از این مشکل امنیتی صورت گرفته است. قربانیان زیادی جهت بازگرداندن سیستم خود هزاران دلار به حساب نفوذگران واریز کرده­اند تا پایگاه‌داده سیستم خود را بازیابی کنند.

روش­های کنترل و جلوگیری از این مشکل امنیتی به شرح ذیل است:

• اختصاص رمز عبور و نام کاربری مجزا مختص هر پایگاه‌داده در سیستم
• بستن پورت 27107 از طریق دیوارآتش

دانلود گزارش کامل