nse MongoDB 未授权访问漏洞 漏洞简介以及危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需 密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库 添加上账号密码（默认空口令），使用默 Center在其某些发行版本中错误地启用了pdkinstall开发插件，使其存在安全漏洞。攻击者利用该漏洞 可在未授权访问的情况下对Atlassian Crowd和Crowd Data Center安装任意的恶意插件，执行任意代 码/命令，从而获得服务器权限。 漏洞利用 环境介绍 环境搭建 目标靶机：Centos ip地址：192.168.18.138 连接工具：Xshell wget https://product-downloads

3-1 nbsqlite.conf 文件 默认值 必需参数 描述 参数 此参数无默认值。 备份 配置 SQLite 数据库路径。 SQLITE_DB_PATH 此参数无默认值。 备份、还原、查询和删 除。 指定用于 nbsqlite 操作的 NetBackup 主服务器。 MASTER_SERVER_NAME 此参数无默认值。 备份 指定 DataStore 策略名称。 POLICY_NAME 验证是否配置了有效的主服务器名称和主机名。 如果主机验证失败，无法进行安 全连接，则备份可能会失败。 代理可能需要一些时间来终止备 份操作并在 nbsqlite 命令提示 符上显示作业状态。 nbsqlite 备份失败，状态码为 7648 成功运行备份 ■ 在 nbsqlite.conf 文件中或从命令行配置 有效的主服务器名称、策略名称、日程表类 型。 ■ 验证 nbsqlite 代理和 NetBackup 主服务

/node_modules/@prisma/client in 54ms 这个命令同时会根据 prisma/schema.prisma 文件中的模型定义，生成用于与数据库交互的 Prisma Client 的代 码。 第 5 步：运行代码并查看结果 运行下述命令，执行示例代码： npm start 示例代码中的主要逻辑： // 步骤 1. 导入自动生成的 `@prisma/client` 依赖包。 import 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 257 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 提供了行级别的生命周期控制策略。通过为表设置 TTL 属性，TiDB 可以周期性地自动检查并清 理表中的过期数据。此功能在一些场景可以有效节省存储空间、提升性能。 TTL 常见的使用场景： • 定期删除验证码、短网址记录 • 定期删除不需要的历史订单 • 自动删除计算的中间结果 TTL 设计的目标是在不影响在线读写负载的前提下，帮助用户周期性且及时地清理不需要的数据。TTL 会以表 为单位，并发地分发不同的任务到不同的

/node_modules/@prisma/client in 54ms 这个命令同时会根据 prisma/schema.prisma 文件中的模型定义，生成用于与数据库交互的 Prisma Client 的代 码。 第 5 步：运行代码并查看结果 运行下述命令，执行示例代码： npm start 示例代码中的主要逻辑： // 步骤 1. 导入自动生成的 `@prisma/client` 依赖包。 import 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 257 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 提供了行级别的生命周期控制策略。通过为表设置 TTL 属性，TiDB 可以周期性地自动检查并清 理表中的过期数据。此功能在一些场景可以有效节省存储空间、提升性能。 TTL 常见的使用场景： • 定期删除验证码、短网址记录 • 定期删除不需要的历史订单 • 自动删除计算的中间结果 TTL 设计的目标是在不影响在线读写负载的前提下，帮助用户周期性且及时地清理不需要的数据。TTL 会以表 为单位，并发地分发不同的任务到不同的

/node_modules/@prisma/client in 54ms 这个命令同时会根据 prisma/schema.prisma 文件中的模型定义，生成用于与数据库交互的 Prisma Client 的代 码。 第 5 步：运行代码并查看结果 运行下述命令，执行示例代码： npm start 示例代码中的主要逻辑： // 步骤 1. 导入自动生成的 `@prisma/client` 依赖包。 import 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 253 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 提供了行级别的生命周期控制策略。通过为表设置 TTL 属性，TiDB 可以周期性地自动检查并清 理表中的过期数据。此功能在一些场景可以有效节省存储空间、提升性能。 TTL 常见的使用场景： • 定期删除验证码、短网址记录 • 定期删除不需要的历史订单 • 自动删除计算的中间结果 TTL 设计的目标是在不影响在线读写负载的前提下，帮助用户周期性且及时地清理不需要的数据。TTL 会以表 为单位，并发地分发不同的任务到不同的

/node_modules/@prisma/client in 54ms 这个命令同时会根据 prisma/schema.prisma 文件中的模型定义，生成用于与数据库交互的 Prisma Client 的代 码。 第 5 步：运行代码并查看结果 运行下述命令，执行示例代码： npm start 示例代码中的主要逻辑： // 步骤 1. 导入自动生成的 `@prisma/client` 依赖包。 import 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 242 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 提供了行级别的生命周期控制策略。通过为表设置 TTL 属性，TiDB 可以周期性地自动检查并清 理表中的过期数据。此功能在一些场景可以有效节省存储空间、提升性能。 TTL 常见的使用场景： • 定期删除验证码、短网址记录 • 定期删除不需要的历史订单 • 自动删除计算的中间结果 TTL 设计的目标是在不影响在线读写负载的前提下，帮助用户周期性且及时地清理不需要的数据。TTL 会以表 为单位，并发地分发不同的任务到不同的

/node_modules/@prisma/client in 54ms 这个命令同时会根据 prisma/schema.prisma 文件中的模型定义，生成用于与数据库交互的 Prisma Client 的代 码。 第 5 步：运行代码并查看结果 运行下述命令，执行示例代码： npm start 示例代码中的主要逻辑： // 步骤 1. 导入自动生成的 `@prisma/client` 依赖包。 import 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 243 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 提供了行级别的生命周期控制策略。通过为表设置 TTL 属性，TiDB 可以周期性地自动检查并清 理表中的过期数据。此功能在一些场景可以有效节省存储空间、提升性能。 TTL 常见的使用场景： • 定期删除验证码、短网址记录 • 定期删除不需要的历史订单 • 自动删除计算的中间结果 TTL 设计的目标是在不影响在线读写负载的前提下，帮助用户周期性且及时地清理不需要的数据。TTL 会以表 为单位，并发地分发不同的任务到不同的

。 更多信息，请参考用户文档。 • 支持密码过期策略 #38936 @CbcWestwolf TiDB 支持密码过期策略，包括手动密码过期、全局级别自动密码过期、账户级别自动密码过期。启用密 码过期策略功能后，用户必须定期修改密码，防止密码长期使用带来的泄露风险，提高密码安全性。 更多信息，请参考用户文档。 • 支持密码重用策略 #38937 @keeplearning20221 TiDB 的内存 限制设 为总内 存的 80%。 default_ �→ password �→ _ �→ lifetime �→ 新增 用于设 置全局 自动密 码过期 策略， 要求用 户定期 修改密 码。默认 值为 0， 表示禁 用全局 自动密 码过期 策略。 45 变量名 修改类型 描述 disconnect �→ _on_ �→ expired �→ _ �→ password �→ 新增 新增 基于密 码更改 次数的 密码重 用策略， 不允许 用户重 复使用 最近设 置次数 内使用 过的密 码。默 认值为 0，表示 禁用基 于密码 更改次 数的密 码重用 策略。 46 变量名 修改类型 描述 password_ �→ reuse_ �→ interval �→ 新增 基于经 过时间 限制的 密码重 用策略， 不允许 用户重 复使用 最近设 置天数 内使用 过的密 码。默认 值为

PlayerMapperEx.xml。避免直接更改 PlayerMapper.java 和 PlayerMapper.xml。这是为了规避 Mybatis Generator 的反复生成，影响到自行编写的代 码。 在 PlayerMapperEx.java 中定义自行增加的接口： package com.pingcap.model; import java.util.List; public interface • get_by_id 函数： – 使用 get_object_or_404 语法糖传入 player_id，并将 Player 对象转为 dict。如数据不存在，将由 此函数返回 404 状态码： result = get_object_or_404(Player, pk=player_id).as_dict() – 使用 JsonResponse 返回数据： return JsonResponse(result) 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 在这个章节当中，将开始介绍如何使用

/node_modules/@prisma/client in 54ms 这个命令同时会根据 prisma/schema.prisma 文件中的模型定义，生成用于与数据库交互的 Prisma Client 的代 码。 第 5 步：运行代码并查看结果 运行下述命令，执行示例代码： npm start 示例代码中的主要逻辑： // 步骤 1. 导入自动生成的 `@prisma/client` 依赖包。 import 使用任意你喜欢的 GUI 客户端来进行数据库模式的更改。本文档中，将在大多数场景下，使用 MySQL 客 户端传入 SQL 文件来执行数据库模式的更改。 • 遵循 SQL 开发规范中的建表删表规范，建议业务应用内部封装建表删表语句增加判断逻辑。 4.5.3.11 更进一步 请注意，到目前为止，创建的所有表都不包含二级索引。添加二级索引的指南，请参考创建二级索引。 4.5.4 创建二级索引 在这个章节当中，将开始介绍如何使用 提供了行级别的生命周期控制策略。通过为表设置 TTL 属性，TiDB 可以周期性地自动检查并清 理表中的过期数据。此功能在一些场景可以有效节省存储空间、提升性能。 TTL 常见的使用场景： • 定期删除验证码、短网址记录 • 定期删除不需要的历史订单 • 自动删除计算的中间结果 TTL 设计的目标是在不影响在线读写负载的前提下，帮助用户周期性且及时地清理不需要的数据。TTL 会以表 为单位，并发地分发不同的任务到不同的