版权声明:本文为博主原创文章,转载请注明来源。 https://blog.csdn.net/y101101025/article/details/60956782
360网站安全漏洞高危提示:存在“网站“被拖库””风险,安全性降低40% [高危] MongoDB未授权访问 – 360网站安全漏洞
漏洞修复:
1、数据库启动时添加auth参数
./mongod --fork --auth
2、添加mongo用户
./mongo
use admin
db.addUser("username", "userpassword")
错误提示:E QUERY [thread1] TypeError: db.addUser is not a function
错误解决:由于使用了新版的mongo数据库把addUser改为createUser。
db.createUser({"user":"yourusername", "pwd":"yourpwd", customData:{}, "roles":[{role:"dbAdmin", db:"admin"}]},{ w: "majority" , wtimeout: 5000 })
3、设置ACL,即绑定本地IP
可以在数据库启动时设置参数
./mongod --fork --auth --bind_ip 127.0.0.1
或是设置配置文件
vim /etc/mongodb.conf
添加
bind_ip = 127.0.0.1
最后在360网站安全上重新检测: