Oppdag sårbarheter i vBulletin fellesskapsplattform.
vBulletin er en populær forumprogramvare som brukes av mer enn 100 000 nettsider på internett. Som all annen programvare, kan vBulletin være utsatt for sikkerhetsproblemer hvis den ikke er riktig konfigurert og beskyttet.
Som en anbefalt praksis, bør du regelmessig skanne ditt offentlig tilgjengelige forum for svakheter. Dette hjelper deg med å redusere risikoen før den blir utnyttet av hackere. Det finnes to hovedmetoder for dette:
- Manuell testing: Utfør sikkerhetsskanninger med jevne mellomrom.
- Automatisk testing: Bruk en skybasert skanner for regelmessig overvåkning. Du vil motta varsler når en sårbarhet oppdages.
Den automatiske metoden er ofte den mest effektive.
Hvorfor er det viktig å sikre et forum?
Det kan argumenteres for at et forum ikke er like kritisk som andre deler av en virksomhet. Det er jo bare et sted der folk kan kommunisere.
Men tenk deg dette scenarioet: Bedriften din har et forum med over en million brukere. Du har ikke prioritert sikkerhet, og en dag blir forumet hacket og alle brukernes data blir lekket.
Dette vil være svært pinlig og kan føre til tap av omdømme og brukertillit.
La oss se nærmere på noen verktøy som kan hjelpe deg.
VBScan
Et prosjekt fra OWASP.
VBScan er utviklet i Perl og er designet for å analysere vBulletin for sårbarheter. Den har over 70 moduler for å oppdage feil.
Installasjonen er enkel og verktøyet kan brukes på alle operativsystemer.
- Last ned den nyeste versjonen fra GitHub
- Pakk ut filene (hvis du lastet ned en zip-fil).
- Naviger til den nylig opprettede mappen.
- Gjør vbscan.pl filen kjørbar.
chmod 755 vbscan.pl
Og du er klar!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=[OWASP VBScan
+---++---==[Version : 0.1.8
+---++---==[Update Date : [2018/09/13]
+---++---==[Author : Mohammad Reza Espargham
+---++---==[Website : www.reza.es
--=[Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
[email protected]:~/vbscan-0.1.8#
Det er enkelt å oppdatere vbscan.
./vbscan.pl --upgrade
CMSSan
CMSSan er basert på VBScan. En av fordelene er den innebygde planleggeren. Dette gjør den til en god open-source-løsning for å kjøre regelmessige skanninger og sende rapporter via e-post.
CMSSan kan ikke bare sjekke vBulletin, men også WordPress, Joomla og Drupal.
Nettgrensesnittet lytter som standard på port 7070. Når du åpner det i nettleseren, ser du en side der du kan skrive inn URL-en som skal skannes.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
TLS-skanner
tipsbilk.net sin TLS-skanner er ikke spesifikk for vBulletin, men det er viktig å sjekke at TLS-sertifikatet er korrekt implementert. Ved å kjøre testen mot vBulletin kan du sjekke hvilke TLS-protokoller og chifre som støttes, samt vanlige nettsårbarheter og detaljer om sertifikatet.
Det finnes mange andre SSL/TLS-skannere tilgjengelige.
Invincti
Invicti tilbyr en profesjonell skanner som kan installeres lokalt eller brukes i skyen.
Invicti kan integreres med utviklingsprosessen for å sikre kontinuerlig sikkerhet for både små og store nettsteder.
Med Invicti sin proprietære skanningsteknologi, kan du raskt skanne vBulletin eller hele nettapplikasjoner og få praktiske resultater. Den dekker et stort utvalg av nettsårbarheter, inkludert OWASP Top 10.
Konklusjon
Det er en utfordring å holde nettressurser sikre. Det er viktig å jevnlig skanne vBulletin og andre nettapplikasjoner for å redusere risikoen så snart sårbarheter oppdages. Verktøyene nevnt ovenfor kan hjelpe deg med å finne sikkerhetshull. Hvis du trenger kontinuerlig sikkerhetsbeskyttelse, kan SUCURI Cloud WAF være et godt alternativ.
Syntes du denne artikkelen var interessant? Del den gjerne med andre!