فا

‫ آسیب پذیری پایگاه داده MongoDB

سیستم‌های پایگاه داده امروزه به وفور استفاده میشوند. به عنوان مثال بانک‌ها برای دخیره اطلاعات تراکنشی و موجودی حساب ها از آنها استفاده می‌کنند، شرکت‌ها اطلاعات مشتریان خود و فروشگاه‌های اینترنتی تمامی محصولات و تراکنش‌های بانکی خود را داخل آن ذخیره می‌کنند. یکی از انواع سیستم‌های پایگاه‌داده که در دنیا و خصوصا در کشور ایران استفاده می‌شود، MongoDB نام دارد. این سیستم یک پایگاه‌داده NoSQL است. پایگاه‌دادههای NoSQL برای ارتباط با برنامه از زبان SQL استفاده نمی‌کنند و به دلیل سهولت کار، توجه افراد زیادی را به خود جلب کرده‌اند. MongoDB معمولا روی پورت 27017 فعال است.
در بررسی‌های انجام شده بر روی سیستم‌های تحت MongoDB، به این نتیجه رسیدیم که اکثر طراحان سیستم‌های مبتنی بر این پایگاه‌داده، نام کاربری و رمز عبور قرار نمی‌دهند. نبود هرگونه رمز عبوری باعث می‌شود افراد در سطح Admin به پایگاه‌داده‌ها دسترسی داشته باشند. این دسترسی به افراد اجازه هرگونه تغییرات دلخواه روی پایگاه‌داده‌ها را می‌دهد. اخیرا اخاذی های زیادی تحت استفاده از این مشکل امنیتی صورت گرفته است. قربانیان زیادی جهت بازگرداندن سیستم خود هزاران دلار به حساب نفوذگران واریز کردهاند تا پایگاه‌داده سیستم خود را بازیابی کنند.
روشهای کنترل و جلوگیری از این مشکل امنیتی به شرح ذیل است:
• اختصاص رمز عبور و نام کاربری مجزا مختص هر پایگاه‌داده در سیستم
• بستن پورت 27107 از طریق دیوارآتش
دانلود گزارش کامل


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 30 خرداد 1396

امتیاز

امتیاز شما
تعداد امتیازها: 0