MongoDB是一款受歡迎的NoSQL數(shù)據(jù)庫(kù)系統(tǒng)，是應(yīng)用程序及網(wǎng)站中所需內(nèi)容的非常有用的文檔數(shù)據(jù)存儲(chǔ)引擎。但是，它的安全機(jī)制出現(xiàn)漏洞，可能被用于黑客的竊取數(shù)據(jù)的企圖。下面我們將介紹這種漏洞的危險(xiǎn)以及如何防止這種漏洞造成的損害。

MongoDB的漏洞竊取數(shù)據(jù)利用了系統(tǒng)默認(rèn)配置，可讓攻擊者訪(fǎng)問(wèn)MongoDB服務(wù)器實(shí)例。大多數(shù)情況下，攻擊者可以通過(guò)將用戶(hù)名和口令設(shè)置為空來(lái)訪(fǎng)問(wèn)MongoDB實(shí)例，然后竊取存儲(chǔ)的數(shù)據(jù)。此外，攻擊者還可以用惡意軟件來(lái)增加MongoDB服務(wù)器上的文檔數(shù)據(jù)，從而更便捷地攻破系統(tǒng)保護(hù)。

為了防止MongoDB漏洞竊取數(shù)據(jù)，系統(tǒng)管理者應(yīng)當(dāng)滿(mǎn)足以下所有要求：

1、首先應(yīng)禁用MongoDB實(shí)例的外部訪(fǎng)問(wèn)。系統(tǒng)管理員可以使用以下代碼，更改MongoDB實(shí)例中服務(wù)器設(shè)置：

// Disable access to anything outside of the only host that should be will be able to access the service.

db.getSiblingDB(‘admin’).runCommand( {

setParameter: 1,

server: {

ipOnly: hostname

}

});

2、如果必須使用遠(yuǎn)程訪(fǎng)問(wèn)，應(yīng)該盡量使用TLS（傳輸層安全性）來(lái)保證客戶(hù)端和服務(wù)器之間的安全傳輸。可以使用以下代碼開(kāi)啟TLS加密：

// Enable TLS encryption

db.getSiblingDB(‘admin’).runCommand( {

setParameter: 1,

tls: {

mode: ‘require’

cipher: ‘blue’

}

});

3、還應(yīng)確保MongoDB數(shù)據(jù)庫(kù)實(shí)例已通過(guò)允許篩選程序限制外部訪(fǎng)問(wèn)。這可以使用以下代碼實(shí)現(xiàn)：

// Restricts access based on whitelist

db.getSiblingDB(‘admin’).runCommand( {

setParameter: 1,

whitelist: {

enabled: true

ip:

}

});

此外，MongoDB管理員還應(yīng)當(dāng)根據(jù)變化的需求定期更新系統(tǒng)和庫(kù)的安全設(shè)置，以防止它被惡意軟件攻擊。

總而言之，MongoDB的人們和公司們要面臨著由于漏洞竊取數(shù)據(jù)而造成的被偷取隱私數(shù)據(jù)的危險(xiǎn)。但實(shí)施正確的安全配置，應(yīng)用一些代碼，以及定期檢查系統(tǒng)，可以有效地防止這種漏洞的危害。