一个自动的pentesting工具,让你知道你的mongodb实例是否安全
mongoaudit的Python项目详细描述
简介
众所周知,MongoDB的默认配置设置中有很多漏洞。这个事实,再加上大量懒惰的系统管理员和开发人员,导致了被媒体称为MongoDB启示录的事情。
mongoudit不仅可以检测错误配置、已知漏洞和错误,还可以为您提供有关如何修复它们的建议、推荐最佳实践并教您如何像专业人员一样进行开发!
支持的测试
- MongoDB在不同于默认端口的端口上侦听
- 服务器只接受来自白名单主机/网络的连接
- 端口28017上无法访问MongoDB HTTP状态接口
- MongoDB没有公开其版本号
- MongoDB版本高于2.4
- TLS/SSL加密可用
- TLS/SSL加密已启用
- TLS/SSL证书有效(非自签名)
- 已启用身份验证
- 已启用scram-sha-1身份验证方法
- 禁止使用服务器端javascript*
- 授予用户的角色只允许CRUD操作*
- 用户对单个数据库具有权限*
- 安全漏洞CVE-2015-7882
- 安全漏洞CVE-2015-2705
- 安全漏洞CVE-2014-8964
- 安全漏洞CVE-2015-1609
- 安全漏洞CVE-2014-3971
- 安全漏洞CVE-2014-2917
- 安全漏洞CVE-2013-4650
- 安全漏洞CVE-2013-3969
- 安全漏洞CVE-2012-6619
- 安全漏洞CVE-2013-1892
- 安全漏洞CVE-2013-2132
标记为星号(*)的测试需要有效的身份验证凭据。
如何才能最好地保护我的MongoDB?
一旦您运行MongoAudit提供的任何测试套件,它将通过电子邮件向您提供一份完整详细的报告。这个个性化的报告链接到一系列关于如何解决每个特定问题以及如何加强MongoDB部署的有用指南。
为了您的方便,我们还在Medium publication中发布了MongoAudit指南 是的。
贡献
我们很高兴你能为我们做贡献!您可以通过不同的方式帮助我们:
- 在github中打开一个问题,为您面临的改进和错误提供建议。
- 分叉存储库并提交一个拉取请求。
- 改进文档。
要提交pull请求,请分叉MongoAudit存储库,然后克隆分叉。
git clone git@github.com:<your-name>/mongoaudit.git
进行建议的更改,git推送,然后提交拉取请求。
法律
许可证
MongoAudit在MIT License下发布 是的。
免责声明
"With great power comes great responsibility"
- 不要在不属于您的服务器上使用此工具。在许多国家,未经授权访问陌生人的计算机系统是一种犯罪。
- 请使用此工具,风险自负。无论怎样造成的损失或损害,我们概不负责。
- 别作恶!
支持和商标
此软件不受MongoDB Inc.,Compose Inc.,ObjectSlab Corporation或与之交互的其他产品或服务提供商的任何支持或认可。它既不试图模仿或取代最初由这些产品和服务的所有者构思的任何软件。以同样的方式,本软件中可能出现的任何第三方商标或知识产权必须被理解为对其所代表的服务提供商的严格说明性引用,并且不得以任何可能导致混淆的方式使用,因此不得滥用。