Mongoaudit - MongoDB Auditing and Pentesting Tool

Thursday, February 23, 2017

Kembali lagi kali ini kita membahas masalah security. Yup, kita akan membahas mengenai Mongoaudit, GUI tool yang berguna untuk melakukan audit keamanan di MongoDB mu. Hal ini tentu akan bermanfaat karena kita jadi tau tindakan apa yang akan diambil selanjutnya.

Mongoaudit sendiri tidak hanya memberi peringatan adanya kesalahan konfigurasi maupun celah pada databasemu, namun juga memberi saran tindakan apa yang harus dilakukan.

Dan berikut daftar test yang didukung :
  • MongoDB listens on a port different to default one
  • Server only accepts connections from whitelisted hosts / networks
  • MongoDB HTTP status interface is not accessible on port 28017
  • MongoDB is not exposing its version number
  • MongoDB version is newer than 2.4
  • TLS/SSL encryption is enabled
  • Authentication is enabled
  • SCRAM-SHA-1 authentication method is enabled
  • Server-side Javascript is forbidden *
  • Roles granted to the user only permit CRUD operations *
  • The user has permissions over a single database *
  • Security bug CVE-2015-7882
  • Security bug CVE-2015-2705
  • Security bug CVE-2014-8964
  • Security bug CVE-2015-1609
  • Security bug CVE-2014-3971
  • Security bug CVE-2014-2917
  • Security bug CVE-2013-4650
  • Security bug CVE-2013-3969
  • Security bug CVE-2012-6619
  • Security bug CVE-2013-1892
  • Security bug CVE-2013-2132

Untuk panduan keamanan MongoDB sendiri developer mongoaudit telah menulis tips tips nya. Kalian bisa baca disini 

Jika kalian tertarik untuk menggunakan Mongoaudit, caranya pun sangat mudah.
Install via pip 
pip install mongoaudit

Atau kalian bisa install melalui alternatif installer berikut :
curl -s https://mongoaud.it/install | bash
Disclaimer :
  1. Never use this tool on servers you don't own. Unauthorized access to strangers' computer systems is a crime in many countries.
  2. Please use this tool is at your own risk. We will accept no liability for any loss or damage which you may incur no matter how caused.
  3. Don't be evil! 

Yup, developer mongoaudit sendiri melarang penggunaan mongoaudit untuk kegiatan illegal. So, gunakan dengan bijak. Jangan dibuat iseng di web orang.

Artikel Terkait Database ,Security ,Tools

No comments:

Post a Comment