4 Nástroje pro skenování vBulletin na chyby zabezpečení

autor:
Tweet
Share
Share
Pin

Najděte zranitelná místa v komunitním softwaru vBulletin.

vBulletin je jedním z populárních komunitních fór, které pohání více než 100 000 stránek na internetu. Jako každý software může být i vBulletin zranitelný, pokud není správně zpevněn a zabezpečen.

Jako osvědčený postup byste měli často prohledávat svou internetovou komunitu, abyste našli slabá místa, abyste je mohli zmírnit před očima hackerů. Existují dva způsoby:

  • Manuální – pravidelně spouštět bezpečnostní kontrolu.
  • Automaticky – využijte cloudový skener k pravidelnému skenování a budete upozorněni, kdykoli bude nalezena zranitelnost.

Jak správně tušíte, automatický způsob zní lépe.

Proč zabezpečit fórum?

Někdo může namítnout, moje věc není fórum. Je to jen pro lidi, aby spolu mluvili, řešili problémy atd.

Ale myslete na to – váš online obchod má fórum a má více než 1 milion uživatelů. Nestaráte se o bezpečnost a jednoho dne někdo hacknul fórum a vyzradil všechny uživatelské údaje.

  Jak získat texty v plovoucím okně pro aktuální skladbu Spotify

Jak trapné, ztráta reputace, ztráta důvěry spotřebitelů atd.

Pojďme prozkoumat nástroje.

Table of Contents

VBScan

Projekt OWASP.

VBScan je založen na Perlu a je schopen analyzovat vBulletin z hlediska zranitelnosti. Obsahuje více než 70 modulů pro detekci nedostatků.

Instalace je jednoduchá a můžete ji použít na jakémkoli operačním systému.

  • Stáhněte si nejnovější verzi z GitHub
  • Rozbalte (pokud jste stáhli zdroj jako soubor zip)
  • Během extrahování zipu přejděte do nově vytvořené složky
  • Změňte oprávnění vbscan.pl být spustitelný
chmod 755 vbscan.pl

A můžete jít!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Aktualizace vbscan je snadná.

./vbscan.pl --upgrade

CMSScan

Výše zmíněné pravomoci VBScan CMSScan. Jednou z výhod, které nabízí, je plánovač. To je skvělé, pokud hledáte řešení s otevřeným zdrojovým kódem pro pravidelné spouštění a odesílání zpráv e-mailem.

  Jak zrušit odesílání zpráv na iPhone, iPad a Mac

Nejen VBulletin, ale CMSScan vám také umožní testovat WordPress, Joomla, Drupal.

Ve výchozím nastavení webové rozhraní naslouchá na portu 7070 a když k němu přistoupíte v prohlížeči, uvidíte krásnou stránku, kam zadáte adresu URL, která se má skenovat.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

Skener TLS

etechblog.cz TLS Scanner není specifický pro vBulletin, ale je nezbytné zajistit, aby implementace certifikátu TLS byla správná. Můžete spustit test s vaším vBulletinem a zjistit podporovaný protokol TLS, šifry, běžné webové zranitelnosti a podrobnosti o certifikátu.

  Jak se dívat na Disney Plus v jiné zemi

Zde je uvedeno více skenerů SSL/TLS.

Invincti

Skener připravený pro podniky je k dispozici jako samoobslužný nebo cloudový.

Invicti lze integrovat s vývojem a poskytovat nepřetržité zabezpečení malým nebo velkým webům.

S jejich patentovanou technologií skenování založenou na nátisku můžete rychle skenovat vBulletin nebo celé webové aplikace, abyste získali použitelné výsledky. Pokrývá velké množství webových zranitelností, včetně OWASP top 10.

Závěr

Udržet online aktiva v bezpečí je náročné a je MUSÍTE pravidelně kontrolovat vBulletin nebo jakékoli webové aplikace, abyste mohli zmírnit, jakmile budou nalezena zranitelnosti. Výše uvedené nástroje vám pomohou najít bezpečnostní chyby, a pokud hledáte nepřetržitou ochranu zabezpečení, pak můžete zvolit SUCURI Cloud WAF.

Užili jste si čtení článku? Co takhle sdílet se světem?