4 verktøy for å skanne vBulletin for sikkerhetssårbarheter

by
Tweet
Share
Share
Pin
0 Shares

Finn sårbarheter i vBulletin fellesskapsprogramvare.

vBulletin er en av de populære forumprogramvarene som driver mer enn 100 000 nettsteder på Internett. Som all programvare kan vBulletin være sårbar hvis den ikke er herdet og sikret på riktig måte.

Som en beste praksis bør du ofte skanne det Internett-vendte fellesskapet ditt for å finne svakheter, slik at du kan redusere det før hackeren ser på det. Det er to måter:

  • Manuell – kjør sikkerhetsskanning med jevne mellomrom.
  • Automatisk – bruk den skybaserte skanneren for å skanne regelmessig, og du blir varslet hver gang en sårbarhet blir funnet.

Som du kan gjette, høres den automatiske måten bedre ut.

Hvorfor sikre et forum?

Man kan argumentere, min virksomhet er ikke forumet. Det er bare for folk å snakke med hverandre, ta opp saker osv.

Men tenk på dette – nettbedriften din har et forum, og det er mer enn 1 million brukere. Du bryr deg ikke om sikkerhet, og en dag har noen hacket forumet og lekket alle brukerdetaljene.

  Slik fikser du feilen "Noe gikk galt under nedlasting av malen".

Hvor pinlig, tap av omdømme, tap av forbrukertillit osv.

La oss utforske verktøyene.

Innholdsfortegnelse

VBScan

Et prosjekt av OWASP.

VBScan er basert på Perl og i stand til å analysere vBulletin for sårbarheter. Den inkluderer mer enn 70 moduler for å oppdage feilene.

Installasjonen er enkel, og du kan bruke den på alle operativsystemer.

  • Last ned den nyeste versjonen fra GitHub
  • Pakk ut (hvis du lastet ned kilden som en zip-fil)
  • Gå til den nyopprettede mappen under zip-utpakking
  • Endre tillatelsen til vbscan.pl til å være kjørbar
chmod 755 vbscan.pl

Og du er god til å gå!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Det er enkelt å oppdatere vbscan.

./vbscan.pl --upgrade

CMSSan

Ovennevnte VBScan-krefter CMSSan. En fordel det gir er planleggeren. Dette er flott hvis du leter etter en åpen kildekode-løsning for å kjøre med jevne mellomrom og sende rapportene via e-post.

  10 måter å tilpasse Slack-kontoen din

Ikke bare VBulletin, men CMSScan lar deg også teste WordPress, Joomla, Drupal.

Som standard lytter nettgrensesnittet på port 7070, og når du får tilgang til det i nettleseren, vil du se den vakre siden der du skriver inn URL-en som skal skannes.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS-skanner

tipsbilk.net TLS Scanner er ikke spesifikk for vBulletin, men det er viktig å sikre at implementeringen av TLS-sertifikatet er korrekt. Du kan kjøre testen mot vBulletin for å finne ut den støttede TLS-protokollen, chiffer, vanlige nettsårbarheter og sertifikatdetaljer.

  Hvorfor piper eller vibrerte iPhone-en din? Slik finner du ut

Det er flere SSL/TLS-skannere oppført her.

Invincti

En bedriftsklar skanner er tilgjengelig som selvvert eller skybasert.

Invicti kan integreres med utvikling for å gi kontinuerlig sikkerhet til små eller store nettsteder.

Med deres proprietære bevisbaserte skanningsteknologi kan du skanne vBulletin eller hele nettapplikasjoner raskt for å få praktiske resultater. Den dekker et stort antall nettsårbarheter, inkludert OWASP topp 10.

Konklusjon

Å holde nettbaserte eiendeler sikre er utfordrende, og periodisk skanning mot vBulletin eller andre nettapplikasjoner er MÅ slik at du kan redusere så snart sårbarheter er funnet. Verktøyene ovenfor hjelper deg med å finne sikkerhetsmanglerne, og hvis du er ute etter kontinuerlig sikkerhetsbeskyttelse, kan du velge SUCURI Cloud WAF.

Likte du å lese artikkelen? Hva med å dele med verden?