Инструмент автоматического пентеста, который позволяет узнать, правильно ли защищены ваши экземпляры MongoDB.
Компании всех размеров используют MongoDB, включая Stampery. Почему? Это без схемы, быстро, масштабируемо. Нам всем нравится его глубокая способность запрашивать.
Но не секрет, что MongoDB уделяет больше внимания масштабируемости, производительности и простоте использования, чем безопасности. В его настройках конфигурации по умолчанию довольно много дыр.
Это, в сочетании с ленивыми администраторами и разработчиками, привело к тому, что пресса окрестила апокалипсисом MongoDB. Хакеры атаковали более 25 000 экземпляров MongoDB. Информация была зашифрована, а за ключи расшифровки просили деньги. В некоторых случаях информация была стерта без возможности восстановления.
Mongoaudit решает эту и многие другие проблемы. Он не только обнаруживает неправильные конфигурации, известные уязвимости и ошибки. Он также дает советы по устранению проблем и рекомендует передовые методы обеспечения безопасности.
Среди других тестов он проверяет:
- MongoDB прослушивает порт, отличный от порта по умолчанию
- Интерфейс состояния HTTP MongoDB отключен
- Шифрование TLS/SSL включено
- Аутентификация включена
- Метод аутентификации SCRAM-SHA-1 включен
- Серверный Javascript запрещен
- Роли, предоставленные пользователю, разрешают только операции CRUD.
- Пользователь имеет права доступа к одной базе данных.
- Сервер уязвим для дюжины различных известных ошибок безопасности.
После запуска тестов Mongoaudit может либо отобразить базовый отчет на экране, либо отправить подробный отчет по электронной почте. Этот персонализированный отчет содержит ссылки на серию руководств о том, как исправить каждую конкретную проблему и как укрепить целевое развертывание MongoDB.
Мы также опубликовали руководства по Mongoaudit в нашем издании Medium — обязательно ознакомьтесь с ними!
