未授权访问漏洞 漏洞简介以及危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需 密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库 添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到 添加用户 -MongoDB 自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB 默认会使用默认端口监听web服务，一般不需要通过web方式进行远程管理，建议禁用。修改配置文件 或在启动的时候选择 –nohttpinterface 参数 nohttpinterface=false -启动时加入参数--bind_ip 127.0.0 -配置访问控制策略。 -最小化权限运行。 -修改默认端口等。 JBOSS 未授权访问漏洞 漏洞简介以及危害 JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费 使用；JBoss也是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3规范。,默认情况下访问 ht tp://ip:8080/jmx-console