Descoperă punctele slabe din software-ul comunității vBulletin.
vBulletin este o platformă populară pentru forumuri online, care susține peste 100.000 de site-uri web. Asemenea oricărui alt program, vBulletin poate fi vulnerabil dacă nu este protejat corespunzător.
O practică recomandată este scanarea regulată a comunității tale online pentru a identifica potențialele vulnerabilități. Astfel, poți lua măsuri preventive înainte ca atacatorii să le exploateze. Ai la dispoziție două metode:
- Manual: Efectuează periodic scanări de securitate.
- Automat: Folosește un scanner bazat pe cloud pentru a efectua scanări frecvente și a fi notificat imediat ce este detectată o vulnerabilitate.
Așa cum probabil îți dai seama, varianta automată este mai eficientă.
De ce este important să securizezi un forum?
Poți considera că forumul nu este o parte esențială a afacerii tale. Poate fi doar un loc unde oamenii discută și ridică probleme.
Însă, gândește-te la următorul scenariu: Afacerea ta online are un forum cu peste 1 milion de utilizatori. Dacă neglijezi securitatea și forumul este spart, informațiile personale ale tuturor utilizatorilor pot fi compromise.
Acest lucru ar duce la o situație jenantă, pierderea reputației, a încrederii clienților și multe altele.
Să explorăm câteva instrumente.
VBScan
Un proiect inițiat de OWASP.
VBScan este un instrument bazat pe Perl, conceput pentru a analiza vulnerabilitățile din platforma vBulletin. Include peste 70 de module pentru a detecta diverse erori.
Instalarea este simplă și poate fi utilizat pe orice sistem de operare.
- Descarcă ultima versiune de pe GitHub
- Dezarhivează fișierul (dacă ai descărcat sursa ca fișier zip)
- Intră în directorul nou creat în urma dezarhivării
- Schimbă permisiunile fișierului vbscan.pl pentru a fi executabil
chmod 755 vbscan.pl
Și gata, poți începe!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=[OWASP VBScan
+---++---==[Version : 0.1.8
+---++---==[Update Date : [2018/09/13]
+---++---==[Author : Mohammad Reza Espargham
+---++---==[Website : www.reza.es
--=[Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
[email protected]:~/vbscan-0.1.8#
Actualizarea vbscan se face foarte ușor.
./vbscan.pl --upgrade
CMSScan
Instrumentul VBScan menționat mai sus stă la baza CMSScan. Un avantaj oferit de acesta este planificatorul de scanări. Este ideal dacă dorești o soluție open-source care să ruleze periodic și să trimită rapoartele prin email.
CMSScan nu se limitează doar la VBulletin, ci îți permite să testezi și platforme precum WordPress, Joomla, Drupal.
Implicit, interfața web funcționează pe portul 7070. După ce o accesezi în browser, vei găsi o pagină simplă unde poți introduce URL-ul pe care dorești să îl scanezi.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
Scaner TLS
Scanerul TLS tipstrick.ro nu este specific pentru vBulletin, dar este important să verifici dacă implementarea certificatului TLS este corectă. Poți testa platforma vBulletin pentru a afla protocolul TLS acceptat, metodele de criptare, vulnerabilitățile web și detaliile certificatului.
Poți găsi aici o listă cu mai multe scanere SSL/TLS.
Invincti
Un scaner conceput pentru mediul enterprise, disponibil atât ca soluție găzduită, cât și bazată pe cloud.
Invicti poate fi integrat cu procesul de dezvoltare pentru a oferi securitate continuă atât site-urilor mici, cât și celor mari.
Cu ajutorul tehnologiei proprii de scanare bazată pe dovezi, poți scana rapid vBulletin sau alte aplicații web pentru a obține rezultate concrete. Acesta acoperă o gamă largă de vulnerabilități web, inclusiv cele din top 10 OWASP.
Concluzie
Menținerea securității activelor online reprezintă o provocare constantă. Scanarea periodică a platformei vBulletin, sau a oricărei alte aplicații web, este OBLIGATORIE pentru a putea remedia vulnerabilitățile imediat ce sunt descoperite. Instrumentele de mai sus te pot ajuta să identifici problemele de securitate. Dacă dorești protecție continuă, poți opta pentru Sucuri Cloud WAF.
Ți-a plăcut articolul? Împărtășește-l și cu alții!