Skip to content
PortsDB

Référence des ports

Port 7474 (TCP) – Neo4j HTTP / Browser

Port par défaut de l'API HTTP de Neo4j et de l'interface web Neo4j Browser.

tcpRegisteredSouvent attaqué

État par défaut

Neo4j est livré avec un identifiant par défaut neo4j/neo4j à changer à la première utilisation, mais les instances exposées sur 0.0.0.0:7474 avec des identifiants faibles ou par défaut restent fréquentes.

Attaques courantes

  • Connexion avec les identifiants par défaut neo4j/neo4j
  • Accès non authentifié ou à authentification faible au Browser et à l'API HTTP
  • Injection Cypher depuis des couches applicatives exposées
  • Divulgation de données du graphe via le point de terminaison de requête HTTP

Durcissement

  • Changer immédiatement le mot de passe neo4j par défaut ; imposer des identifiants forts
  • Lier à localhost ou à une interface privée ; ne jamais exposer 7474 à Internet
  • Exiger TLS (préférer HTTPS sur 7473) et restreindre le port Bolt (7687)
  • Filtrer 7474 vers les hôtes de confiance et placer un reverse proxy si accès distant
  • Maintenir Neo4j à jour et auditer les accès

Commande nmap

nmap -p7474 --script http-title <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 7474 ?

Le port 7474 est le port par défaut de l'API HTTP de Neo4j et de l'interface web Neo4j Browser, utilisée pour exécuter des requêtes Cypher et administrer une base de données orientée graphe. Les développeurs et applications se connectent via 7474 pour lire et écrire des nœuds et relations ; le protocole binaire Bolt utilise 7687 et HTTPS utilise 7473.

Pourquoi c'est important pour la sécurité

Neo4j est livré avec un identifiant par défaut bien connu, neo4j/neo4j, et le Browser expose une console de requête complète. Si 7474 est accessible avec des identifiants par défaut ou faibles, un attaquant peut exécuter du Cypher arbitraire pour lire ou modifier l'intégralité du graphe, qui contient souvent des données sensibles de relations et d'identités.

Comment c'est attaqué

Les attaquants scannent les ports 7474 ouverts, essaient l'identifiant par défaut neo4j/neo4j et atteignent le Browser ou l'API HTTP. Ils exécutent du Cypher pour extraire le graphe ou altérer les données. Lorsque Neo4j alimente une application, l'injection Cypher peut aussi servir à extraire ou modifier des enregistrements via le point de terminaison de requête.

Liste de durcissement

Changez immédiatement le mot de passe neo4j par défaut et imposez des identifiants forts. Liez Neo4j à localhost ou à une interface privée, exigez TLS (préférez HTTPS sur 7473) et restreignez le port Bolt 7687. Filtrez 7474 vers les hôtes de confiance et placez un reverse proxy devant si un accès distant est nécessaire. Appliquez les correctifs régulièrement et auditez les accès. Utilisez l'extrait nmap ci-dessus pour détecter les instances exposées sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 7687Port 9200Port 27017Port 6379

Questions fréquentes

Quel est l'identifiant Neo4j par défaut ?
Neo4j est livré avec neo4j/neo4j et demande un changement de mot de passe à la première connexion, mais de nombreuses instances exposées conservent des identifiants faibles ou par défaut. Définissez toujours un mot de passe fort avant d'exposer 7474 ou le port Bolt 7687.
Est-il sûr d'exposer le Neo4j Browser sur le port 7474 ?
Non. Le Browser et l'API HTTP permettent d'exécuter des requêtes Cypher sur votre graphe. Liez à une interface privée, exigez TLS, changez les identifiants par défaut et filtrez 7474 vers les hôtes de confiance.