如果这是一个愚蠢或愚蠢的问题,我事先道歉。我们只是说我偶然发现一个属于大公司的未受保护的MongoDB服务器。我尝试使用客户端连接到服务器,而不输入用户名和密码,并且连接成功。现在,我不确定我是否可以访问数据库中的数据,但我可以看到它上面有一些数据库,我相信我可以在其上创建和删除数据库(没有试过)。这构成了多大的安全漏洞?请注意,我没有篡改或乱搞任何东西,我只是问,所以我可以看出这是否确实是我应该报告的安全漏洞,或者是误报。这种访问不应仅限于数据库管理员吗?
答案 0 :(得分:0)
我知道这是怎么回事,可能有几种情况。
大多数生产数据库都是足够密封的,因为你称之为" BIG"公司,很可能他们一定做到了。 什么可能是这样的情况取决于你甚至可以通过刑事通知打耳机的公司,并非每个公司都以适当的方式对第三方进行错误审查。如果他们有适当的bug赏金计划,虽然他们可能会给你奖励。谨慎行事。