錯誤配置MongoDB數據庫：微軟招聘網站曝數據泄露安全漏洞

微軟剛剛為自家移動版招聘網站封堵了一個注冊用戶信息泄露漏洞，以幫大公司追索錯誤配置部署的MongoDB在線數據庫而知名的安全研究人員Chris Vickery發現了這一問題（且與他此前的多個發現類似）。此前，Vickery曾幫MacKeeper找到了泄露超過1300萬用戶細節的漏洞，該公司在感動之余給還給了他一個職位。

微軟、Ritz、萬豪等網站均受到了影響。

根據MacKeeper網站上的一篇博客文章，Vickery已經披露了幫助微軟確保可通過互聯網獲取到的MongoDB數據庫的安全細節（無需密碼且允許攻擊者修改內容）。

其中提到的數據庫屬于Punchkick Interactive（一家移動Web開發公司），微軟將移動版招聘網站的開發交給了它。

除了微軟，同樣的數據庫問題還影響到了該公司的許多其它客戶，比如萬豪和麗思卡爾頓酒店。

攻擊者可讀取、亦可寫入數據庫內容。

盡管暴露所有注冊用戶信息已經很糟糕，但該漏洞更危險的地方卻在于能夠獲得數據庫的寫入訪問權限、插入惡意內容、以及將之嵌入到網站本身。

這種情形可導致經典的“下載型攻擊”，因為黑客很容易找到讓惡意軟件難以被檢測到的方法。萬幸的是，在Vickery通過郵件告知風險之后，Punchkick在一個小時內就極速修復了它。

[編譯自： Soft Pedia ]

訪問:

微軟中國官方商城

</div> </div>

來自： http://www.cnbeta.com/articles/474565.htm