51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

太快太不安全:为Mongo Express Web管理界面保驾护航

译文
作者:布加迪编译
数据库 其他数据库
Mongo Express是一种基于Web的轻量级管理界面,用于交互式管理MongoDB数据库。它使用Node.js、Express和Bootstrap软件包编写而成。本文介绍在无需身份验证的情况下部署Mongo Express管理面板以及防止泄露的各种措施。

【51CTO.com快译】Mongo Express是一种基于Web的轻量级管理界面,用于交互式管理MongoDB数据库。它使用Node.js、Express和Bootstrap软件包编写而成。本文介绍在无需身份验证的情况下部署Mongo Express管理面板以及防止泄露的各种措施。

验证方案

Mongo Express随带config-default.js文件。它主要支持基本的验证,这包含用户名和密码组合的base64编码有效载荷。这意味着,如果配置了基本验证,每次请求访问不同的Mongo Express Web组件时就会传输HTTP请求报头Authorization:Basic 。图1显示了用于提供基本验证登录信息的变量。

图1. Mongo Express Web管理控制台验证变量

除了上面讨论的Web面板验证方案外,Mongo Express软件包还支持通过环境变量传递数据库验证登录信息。如果使用虚拟机或容器来部署主机,通过环境变量传递登录信息可能导致信息在多个位置泄漏。图2显示了用于传递值的环境变量的类型。

图2. 用于Mongo数据库连接的环境变量

用于提供验证的Mongo Express环境变量如图3所示:

图3. 用于Mongo Express验证的Docker环境变量

总体而言,基本验证用于保护Mongo Express Web管理面板,而环境变量用于存储用来配置与主要的MongoDB数据库之间的后端连接的登录信息。

Mongo Express:HTTP请求/响应

在默认状态下,Mongo Express传输HTTP请求和响应报头,如代码片段1所示。创建了mongo-express cookie参数,用于存储与会话有关的信息。

代码片段1. Mongo Express Web服务器的HTTP请求/响应

set-cookie:mongo-express签名可用于鉴别部署在互联网上的Mongo Express的特征。

实证分析

成千上万的Mongo Express Web管理面板暴露在互联网上,无需验证即可访问它们。这意味着任何远程用户都可以访问这些界面、执行命令或检索敏感信息。

在这里,可以看到可用于无需验证,就可以扫描在互联网上运行的Mongo Express实例的HTTP资源路径:

直接的Web链接:

  • [IP:port]/db/config/
  • [IP:port]/db/config/system.sessions
  • [IP:port]/db/admin/system.users
  • [IP:port]/db/admin/system.version
  • [IP:port]/db/local/startup_log

JSON转储(JSON dump)

  • [IP:port]/db/config/
  • [IP:port]/db/config/expArr/system.sessions
  • [IP:port]/db/admin/expArr/system.users
  • [IP:port]/db/admin/expArr/system.version
  • [IP:port]/db/local/expArr/startup_log

代码片段2只是预测为访问Mongo Express软件包使用的资源而发送的cURL请求的输出:

代码片段2. 访问系统的JSON转储,用户无需远程服务器的验证

以下是我们进行的未验证的Mongo Express Web管理实例的实时评估的几个例子。

访问管理员root:可以访问和编辑含有登录详细信息的文档,比如salt、storedKey、serverKey及其他值。图4显示了同样的情况。

图4. 提取Admin.Root的角色和登录信息

数据库删除:图5和图6显示可以通过删除所有关联的集合来删除数据库。这些例子显示了通过不安全的Mongo Express管理面板删除startup_log数据库。

图5. 开始从数据库删除集合

图6. 数据库成功删除

信息泄漏:日志还可以显示关于构建环境的内部信息,如图7所示。

图7. 关于构建环境的信息泄漏

若干建议

上面介绍的例子强调了为什么保护部署在互联网上的Mongo Express实例很重要。以下是防止泄露的几个提示:

1. 使用强登录信息限制访问,并部署边界访问控制机制。

2. 对网络边界上公开的服务执行定期漏洞评估和渗透测试,确保关键服务受到限制,并未运行不安全的软件版本。

3. 制定强有力的风险评估计划,确保预先了解风险并相应地进行补救。

4. 定期执行配置审查,并制定安全影响分析(SIA)计划,将这种做法落实到位。

原文标题:Too fast, too insecure: Securing Mongo Express web administrative interfaces,作者:Aditya K Sood

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:庞桂玉 来源: 51CTO
Mongo ExpressMongoDB数据库
相关推荐
ZIYA企业移动安全保驾护航
随着大数据和云计算的快速落地,越来越多的企业将IT从本地部署迁移到云端,从PC端延伸到移动端,SaaS和移动成为趋势。从此移动信息化再次迎来发展良机,移动办公凭借其Anytime、Anywhere的特性,有效提高办公效率,已成为大势所趋,移动设备也迎来优质的应用环境。

2015-08-19 10:06:21

华为桌面云 信息安全保驾护航
2012年5月9日,温家宝总理主持召开国务院常务会议,研究部署推进信息化发展保障信息安全工作中指出“建立健全信息安全保障体系,对于调整经济结构,转变发展方式,保障和改善民生,维护国家安全,具有重大意义”。

2012-06-25 16:57:07

“全网安全协防”时刻保驾护航
身为网络的医生,我们怎么才能实时感知网络的健康状态,在病情发作之前先做预防;我们怎么才能在安全事件发生最初就进行快速有效处理,防止事件进一步恶化,影响整个网络和企业业务呢

2014-07-01 10:07:56

开启“智慧的终端管理”时代 TEM安全保驾护航
有预测表明,到2015年,全球将会有一万亿台连接设备,之中包括很多配备各种实时功能、可迅速准确地对环境做出响应的智能设备。企业在得益于这些智能设备发展所带来契机的同时,其所面临的管理及安全挑战也日益严峻。

2011-03-09 23:01:50

FortiGate企业网络安全保驾护航
Fortinet为用户网络安全保驾护航——针对快速增长的网络新型混合攻击,即基于互联网的病毒已经升级到应用层的攻击,企业需要一种更为灵活的并且能够整合各种复杂类型的攻击的设备来阻止这种新型混合攻击对企业造成的威胁。

2013-02-01 16:48:16

22款免费安全工具企业保驾护航
安全无小事,但是不一定说就要导致预算超支。本文介绍的这些免费工具可以帮助贵企业诊断和监控威胁、预防入侵、保护密码、确保合规等等。

2015-09-23 10:12:58

全面升级IT安全 IBM全球信息保驾护航
IBMCIO越来越提高警惕以强化企业IT信息安全,减少企业出现安全问题的机率。面对越来越复杂,且具有针对性的安全和风险威胁,IBM软件通过一系列在安全领域的研发、收购和产品重组,全面升级IT安全力以满足企业对自身风险管理、安全和合规的业务需求。这是IBM以更智能的方式,对保障企业安全走出的重要一步,充分体现了IBM软件集团对提升企业安全力的高度重...

2012-02-13 10:46:37

TEMTivoliIBM
Radware 9大方法安全保驾护航
云技术的范围之广生成了一系列的新安全挑战。从在混合环境中协调安全策略,到密切注意云合作租户,这其中有太多需要关注的地方。日益复杂的攻击现状只是让问题更加复杂,需要敏感性高且能够不断适应变化的安全系统才可以缓解这些复杂攻击。

2016-10-13 13:24:54

奇安信携手Nutanix企业安全保驾护航
Nutanix和奇安信集团还将着眼于合规性。双方将继续深化技术和产品合作,联合推出信息安全整体解决方案以及等保合规超融合一体机,帮助企业更好地满足等保2.0时代对网络安全的需求。

2020-04-30 14:03:53

Nutanix
潮数科技医疗行业数据安全保驾护航
随着医疗行业的发展,医学技术也在不断进步中,信息必将更为细化和精细,信息的量增加了,数据越来越多;同时,医疗器械的制造工艺也在不断提升,仪器的精度更高

2021-03-09 10:41:25

潮数
Windows Server 2008企业的信息安全保驾护航
在信息化高速发展的时代,商业竞争激烈的今天,保护企业信息的安全,已经是企业发展的重要内容,而WindowsServer2008正好为保护企业信息的安全提供了必须的功能,我们可以通过以下几个方面来验证WindowsServer2008如何为企业保障信息安全。

2010-06-03 11:29:26

Windows Ser
Sophos携手群柏数码 客户IT安全保驾护航
全球领先的专业IT安全及数据保护公司Sophos(守护使)今日正式对外宣布,该公司已与业内最大的网络安全解决方案分销商之一的群柏数码科技有限公司签署合作协议,群柏数码正式成为Sophos(守护使)公司在中国大陆地区的增值分销商。

2010-01-12 17:21:16

Sophos群柏数码
GIS技术云计算保驾护航
在发生自然灾害的情况下,可能有相当长的一段时间是无法访问数据的,而在我们这个极度依赖技术(数据)的世界中,即便是五分钟的停电事件也会让大家觉得如此漫长而难以忍受。

2012-09-12 09:40:36

云服务GIS技术弹性云计算
安全保驾护航 小米MIUI上线SOS求助功能
目前该功能已经进入MIUI最新体验版系统内测阶段。用户可以通过进入手机设置页面,找到“SOS求助”选项,进入功能界面开启该功能并进行相关设置,包括设置紧急联系人、自动给紧急联系人拨打电话等。

2018-09-03 11:36:41

小米MIUImiui
稳捷网络医疗行业应用安全保驾护航
近日,全球知名的高性能Web2.0安全解决方案领导厂商与高端Web安全设备提供商WedgeNetworks(稳捷网络)宣布,目前国内医疗卫生行业信息化建设在应用层安全上不尽人意,性能和功能两方面都受到了医院业务需求与应用系统的强大压力。为此,稳捷网络提出利用更加专注的Web应用安全解决方案弥补医院在信息安全上的短板。

2010-01-26 11:29:43

戴尔陈进坤:虚拟化安全保驾护航
当前,很多企业纷纷减少IT预算中资本支出的部分,转而把更多的IT消费和预算侧重于战略性的技术上,比如数据保护。同时,这些企业也更加关注虚拟化在下一代的数据中心中所能够扮演的重要角色

2011-03-03 10:48:03

这四种安全方式区块链保驾护航
区块链自诞生之日起,就伴随着不少反驳的声音。新鲜事物便是如此,在有人的眼里它价值千金,仓箱可期,有人则认为它分文不值,将其视如草芥。但在越来越多的案例看来,区块链确实能成功运用于譬如农业科技、电商、医疗、甚至是艺术品等收藏领域,可以有效地保护网络、身份、数据、关键基础信息等等。

2018-09-28 15:37:49

Strix无线Mesh技术核电站安全保驾护航
Strix对核电站这种应用场景也是有自己的一套成熟解决方案,Strix的无线Mesh设备可以为核电站的视频监控系统、出入口控制系统、交通控制系统、周界防范系统、电子巡更系统提供无线解决方案。

2011-11-29 14:13:22

StrixMesh
Nginx Web 服务器保驾护航的若干要点
Nginx是全球发展势头最猛的开源轻量级高性能Web服务器系统。Nginx可在Linux、Windows、MacOS和Solaris等操作系统上运行。Nginx继续人气激增,意味着越来越多的Nginx部署环境需要加以保护。

2019-03-22 08:39:14

NginxWeb服务器Linux
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服