4 instrumente pentru a scana vBulletin pentru vulnerabilități de securitate

de
Tweet
Share
Share
Pin

Găsiți vulnerabilități în software-ul comunității vBulletin.

vBulletin este una dintre cele mai populare comunități, software de forum care alimentează peste 100.000 de site-uri de pe Internet. Ca orice software, vBulletin poate fi vulnerabil dacă nu este întărit și securizat corect.

Ca cea mai bună practică, ar trebui să vă scanați frecvent comunitatea care se confruntă cu Internet pentru a găsi punctele slabe, astfel încât să puteți atenua înainte ca hackeri să o privească. Există două moduri:

  • Manual – rulați periodic scanarea de securitate.
  • Automată – utilizați scanerul bazat pe cloud pentru a scana în mod regulat și veți fi notificat ori de câte ori este găsită o vulnerabilitate.

După cum puteți ghici, modul automat sună mai bine.

De ce să securizăm un forum?

Se poate argumenta, afacerea mea nu este forumul. Este doar ca oamenii să vorbească între ei, să ridice probleme etc.

Dar gândește-te la asta – afacerea ta online are un forum și există mai mult de 1 milion de utilizatori. Nu-ți pasă de securitate și într-o zi cineva a spart forumul și a scurs toate detaliile utilizatorului.

Cât de jenant, pierderea reputației, pierderea încrederii consumatorilor etc.

Să explorăm instrumentele.

VBScan

Un proiect al OWASP.

VBScan se bazează pe Perl și este capabil să analizeze vBulletin pentru vulnerabilități. Include mai mult de 70 de module pentru a detecta defectele.

Instalarea este simplă și o puteți utiliza pe orice sistem de operare.

  • Descărcați cea mai recentă versiune de pe GitHub
  • Dezarhivați (dacă ați descărcat sursa ca fișier zip)
  • Accesați folderul nou creat în timpul extragerii zip
  • Schimbați permisiunea vbscan.pl pentru a fi executabil
chmod 755 vbscan.pl

Și ești gata de plecare!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Actualizarea vbscan este ușoară.

./vbscan.pl --upgrade

CMSScan

Puterile VBScan menționate mai sus CMSScan. Un avantaj pe care îl oferă este planificatorul. Acest lucru este grozav dacă sunteți în căutarea unei soluții open-source care să ruleze periodic și să trimiteți rapoartele prin e-mail.

  Iată ce trebuie să faci

Nu doar VBulletin, ci și CMSScan vă permit să testați WordPress, Joomla, Drupal.

Implicit, interfața web ascultă pe portul 7070 și când îl accesați în browser, veți vedea frumoasa pagină unde introduceți URL-ul de scanat.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

Scaner TLS

tipstrick.ro TLS Scanner nu este specific pentru vBulletin, dar este esențial să vă asigurați că implementarea certificatului TLS este corectă. Puteți rula testul pe vBulletin pentru a afla protocolul TLS acceptat, cifrurile, vulnerabilitățile web comune și detaliile certificatului.

Există mai multe scanere SSL/TLS enumerate aici.

Invincti

Un scaner pregătit pentru întreprindere este disponibil ca găzduit de sine stătător sau bazat pe cloud.

Invicti poate fi integrat cu dezvoltarea pentru a oferi securitate continuă site-urilor mici sau mari.

Cu tehnologia lor proprie de scanare bazată pe dovezi, puteți scana rapid vBulletin sau aplicații web întregi pentru a obține rezultate acționabile. Acesta acoperă un număr mare de vulnerabilități web, inclusiv top 10 OWASP.

Concluzie

Păstrarea în siguranță a activelor online este o provocare, iar scanarea periodică împotriva vBulletin sau a oricăror aplicații web este TREBUIE, astfel încât să puteți atenua de îndată ce sunt găsite vulnerabilități. Instrumentele de mai sus vă ajută să găsiți defectele de securitate, iar dacă sunteți în căutarea unei protecție de securitate continuă, atunci puteți alege SUCURI Cloud WAF.

  Codurile cheie de aur Borderlands 2: Valorificați acum

Ți-a plăcut să citești articolul? Ce zici de împărtășirea cu lumea?