保護されていないMongoDBサーバー？

Question

これは決して愚かで愚かな質問であればお詫び申し上げます。大企業に所属する保護されていないMongoDBサーバーを見つけたとしましょう。私は、ユーザー名とパスワードを入力せずにサーバーに接続するためにクライアントを使用してみましたが、正常に接続しました。今、データベース内のデータにアクセスできるかどうかはわかりませんが、そこにデータベースがいくつかあることがわかります。データベースを作成して削除することは可能です試しました）。これはセキュリティ上の欠陥のどれくらいの大きさですか？私が何かを改ざんしたり混乱させたりしていないことを覚えておいてください。本当に私が報告しなければならないセキュリティ上の欠陥であるか、誤ったポジティブであるかを見分けることができます。そのようなアクセスはデータベース管理者に限定するべきではありませんか？

Answer 1

これはどこにあるのか分かりますが、いくつかのケースがあります。

1. これは開発サーバーであり、データは偽造されている可能性があります。
2. 放棄されている可能性があります。
3. いくつかのメンテナンスを実行している間に、いくつかの怠惰な開発者は、ポートとセキュリティを開きます。

ほとんどの本番データベースは「大企業」と呼ばれているため、十分に密封されています。 企業によっては、犯罪告知で殴ら​​れる可能性もありますが、すべての企業が第三者による適切な方法でバグレビューを取るわけではありません。彼らはあなたに報酬を提供するかもしれませんが、彼らは適切なバウチャーバウンティプログラムを持っている場合。慎重に踏んでください。