logo

Société de service informatique

TabTechnologie Conseil vous propose ses services en matière de :
  • Ingénierie informatique, création de logiciels et systèmes d'information.
  • Digital et mobile, création de sites web et applications mobiles
  • Community management et création de contenus digitaux.
Info@tabtechnologie.com
+213 556025078

MongoDB Security Audit

TABTechnologie > Cybersécurité  > MongoDB Security Audit

MongoDB Security Audit

Description MANGODB :

mongoaudit est un outil CLI permettant d’auditer des serveurs MongoDB, de détecter les paramètres de sécurité médiocres et d’effectuer des tests de pénétration automatisés. Il est généralement reconnu que les paramètres de configuration par défaut de MongoDB comportent de nombreux trous. Ce fait, combiné à de nombreux administrateurs système et développeurs paresseux, a conduit à ce que la presse a appelé l’apocalypse MongoDB.

mongoaudit détecte non seulement les erreurs de configuration, les vulnérabilités connues et les bugs, mais vous donne également des conseils sur la façon de les résoudre, recommande les meilleures pratiques et vous apprend à devenir DevOp comme un pro!

Entre autres tests, il vérifie si:

  •  MongoDB écoute sur un port différent de celui par défaut
  • L’interface d’état HTTP MongoDB est désactivée
  • Le cryptage TLS / SSL est activé
  • L’authentification est activée
  • La méthode d’authentification SCRAM-SHA-1 est activée
  • Javascript côté serveur est interdit
  • Les rôles attribués à l’utilisateur ne permettent que les opérations CRUD
  • L’utilisateur dispose d’autorisations sur une seule base de données
  • Le serveur est vulnérable à une douzaine de différents problèmes de sécurité connus

Installation avec pip :

C’est la méthode d’installation recommandée dans le cas où vous avez python et pip.

pip install mongoaudit

Installation alternatif :

Utilisez cette option si et seulement si python et pip ne sont pas disponibles sur votre plate-forme.

curl -s https://mongoaud.it/install | bash

fonctionne sur Mac OS X, GNU / Linux et Bash pour Windows 10

Si vous êtes sérieux au sujet de la sécurité, vous devez toujours utiliser le programme d’installation PIP ou, mieux encore, suivre les meilleures pratiques de sécurité: cloner ce référentiel, vérifier le code source et ensuite l’exécuter avec python mongoaudit.

Supported tests :

  • MongoDB listens on a port different to default one
  • Server only accepts connections from whitelisted hosts / networks
  • MongoDB HTTP status interface is not accessible on port 28017
  • MongoDB is not exposing its version number
  • MongoDB version is newer than 2.4
  • TLS/SSL encryption is enabled
  • Authentication is enabled
  • SCRAM-SHA-1 authentication method is enabled
  • Server-side Javascript is forbidden
  • Roles granted to the user only permit CRUD operations *
  • The user has permissions over a single database *
  • Security bug CVE-2015-7882
  • Security bug CVE-2015-2705
  • Security bug CVE-2014-8964
  • Security bug CVE-2015-1609
  • Security bug CVE-2014-3971
  • Security bug CVE-2014-2917
  • Security bug CVE-2013-4650
  • Security bug CVE-2013-3969
  • Security bug CVE-2012-6619
  • Security bug CVE-2013-1892
  • Security bug CVE-2013-2132

#Downlaod #Link:-

https://github.com/stampery/mongoaudit

aghilas tabti

tabti.aghilas@gmail.com