4 Nástroje pro skenování vBulletin na chyby zabezpečení

autor:
Tweet
Share
Share
Pin

Odhalte slabá místa ve vašem komunitním softwaru vBulletin.

vBulletin, oblíbená platforma pro komunitní fóra, pohání nespočet webových stránek. Stejně jako každý jiný software, i vBulletin může obsahovat zranitelnosti, pokud není řádně zabezpečen.

Důkladná kontrola online komunity by měla být součástí pravidelné údržby, abyste identifikovali potenciální hrozby dříve, než je objeví útočníci. Existují dva základní přístupy:

  • Ruční kontrola – pravidelné provádění bezpečnostních auditů.
  • Automatická kontrola – využití cloudového skeneru pro pravidelné monitorování a okamžité upozornění na nalezené zranitelnosti.

Jak je zřejmé, automatizovaný přístup je efektivnější.

Proč je důležité zabezpečení fóra?

Někteří mohou argumentovat, že jejich fórum slouží pouze ke komunikaci a řešení problémů. Nicméně je třeba vzít v úvahu potenciální dopady.

Představte si, že váš e-shop, který má více než milion uživatelů, má také diskuzní fórum. Pokud by se kdokoliv dostal do systému fóra a získal přístup k citlivým uživatelským datům, dopad na reputaci a důvěru zákazníků by byl katastrofální.

Pojďme se podívat na dostupné nástroje.

VBScan

Projekt OWASP.

VBScan, napsaný v Perlu, dokáže analyzovat vBulletin a odhalovat bezpečnostní nedostatky. Využívá rozsáhlou knihovnu více než 70 modulů pro detekci slabých míst.

Instalace je velmi jednoduchá a nástroj je možné spustit na jakémkoliv operačním systému.

  • Stáhněte si aktuální verzi z GitHub.
  • Rozbalte stažený archiv (pokud je ve formátu ZIP).
  • Po rozbalení přejděte do nově vzniklé složky.
  • Nastavte spustitelná práva pro soubor `vbscan.pl`.
chmod 755 vbscan.pl

A je to! Nástroj je připraven k použití.

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Aktualizace VBScan je snadná:

./vbscan.pl --upgrade

CMSScan

CMSScan má podobné schopnosti jako VBScan, avšak nabízí navíc funkci plánování kontrol. To je užitečné, pokud hledáte open-source řešení pro automatické a periodické spouštění testů s následným zasíláním notifikací emailem.

CMSScan není určen pouze pro vBulletin, ale umožňuje také testování platforem WordPress, Joomla a Drupal.

Ve výchozím stavu CMSScan používá webové rozhraní dostupné na portu 7070, které po otevření v prohlížeči umožňuje zadat URL cílové webové stránky pro skenování.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS skener

Skener TLS z eTechBlog.cz není specificky zaměřen na vBulletin, avšak je nezbytné otestovat implementaci TLS certifikátu. Tento nástroj otestuje podporované TLS protokoly, šifrovací algoritmy a odhalí běžné webové zranitelnosti a zobrazí detaily certifikátu.

Zde je seznam dalších skenerů SSL/TLS.

Invicti

Invicti je podnikový skener, který je dostupný v cloudové i on-premise variantě.

Invicti lze integrovat s procesem vývoje a poskytnout tak nepřetržité zabezpečení webových stránek.

Díky patentované technologii skenování založené na pokročilých metodách, je možné rychle otestovat vBulletin i komplexní webové aplikace a získat užitečné výsledky. Invicti pokrývá široké spektrum zranitelností včetně těch, které spadají do žebříčku OWASP Top 10.

Závěr

Udržování webových aktiv v bezpečí je náročné. Je nezbytné pravidelně kontrolovat vBulletin nebo jakékoliv jiné webové aplikace, abyste mohli ihned reagovat na odhalené zranitelnosti. Výše uvedené nástroje vám pomohou s odhalováním bezpečnostních chyb. Pro kontinuální ochranu webových aplikací můžete zvážit SUCURI Cloud WAF.

Líbil se vám článek? Podělte se o něj se světem!