Odkryj słabe punkty w oprogramowaniu forum vBulletin.
vBulletin to popularna platforma forów internetowych, z której korzysta ponad 100 000 witryn na całym świecie. Jak każde oprogramowanie, vBulletin może stać się celem ataków, jeśli nie zostanie odpowiednio zabezpieczony.
Dobrą praktyką jest regularne sprawdzanie bezpieczeństwa Twojego forum, aby zidentyfikować potencjalne słabości i załatać je, zanim zrobią to hakerzy. Możesz to zrobić na dwa sposoby:
- Manualnie – przeprowadzaj testy bezpieczeństwa w regularnych odstępach czasu.
- Automatycznie – użyj skanera opartego na chmurze, który będzie monitorował Twoje forum na bieżąco i powiadomi Cię o wykryciu jakiejkolwiek luki.
Jak łatwo się domyślić, opcja automatyczna jest znacznie wygodniejsza i skuteczniejsza.
Dlaczego warto dbać o bezpieczeństwo forum?
Być może myślisz, że forum to tylko dodatek do Twojej firmy. Klienci mogą tam dyskutować, zgłaszać problemy i tak dalej.
Ale wyobraź sobie, że Twoja firma internetowa ma forum z milionem użytkowników. Zaniedbujesz kwestie bezpieczeństwa i pewnego dnia hakerzy włamują się na forum i wykradają wszystkie dane użytkowników.
To byłaby katastrofa! Utrata reputacji, zaufania klientów – same kłopoty.
Spójrzmy na dostępne narzędzia.
VBScan
Projekt stworzony przez OWASP.
VBScan to narzędzie napisane w Perlu, które służy do analizy vBulletin pod kątem luk w zabezpieczeniach. Posiada ponad 70 modułów do wykrywania różnorodnych wad.
Instalacja jest prosta i możliwa na dowolnym systemie operacyjnym.
- Pobierz najnowszą wersję z GitHub.
- Rozpakuj pobrany plik (jeśli pobrałeś archiwum ZIP).
- Przejdź do nowo utworzonego folderu.
- Nadaj plikowi vbscan.pl uprawnienia wykonywalne.
chmod 755 vbscan.pl
I gotowe!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=[OWASP VBScan
+---++---==[Version : 0.1.8
+---++---==[Update Date : [2018/09/13]
+---++---==[Author : Mohammad Reza Espargham
+---++---==[Website : www.reza.es
--=[Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
[email protected]:~/vbscan-0.1.8#
Aktualizacja VBScan jest równie prosta.
./vbscan.pl --upgrade
CMS Scan
VBScan wykorzystuje uprawnienia CMS Scan. Jedną z jego zalet jest możliwość planowania skanów. To doskonałe rozwiązanie, jeśli potrzebujesz narzędzia typu open source do regularnego skanowania i wysyłania raportów na adres e-mail.
CMS Scan pozwala testować nie tylko vBulletin, ale również WordPress, Joomla i Drupal.
Domyślnie interfejs webowy nasłuchuje na porcie 7070. Po otwarciu w przeglądarce pojawi się strona, na której możesz wpisać adres URL do przeskanowania.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
Skaner TLS
Skaner TLS dostępny na newsblog.pl nie jest dedykowany wyłącznie dla vBulletin, ale jest niezbędny do prawidłowej implementacji certyfikatu TLS. Za jego pomocą możesz sprawdzić swój vBulletin, aby dowiedzieć się jaki protokół TLS jest używany, jakie szyfry, jakie są typowe luki w zabezpieczeniach oraz szczegóły certyfikatu.
Na liście znajduje się więcej skanerów SSL/TLS.
Invicti
Profesjonalne narzędzie do skanowania, dostępne jako usługa hostowana samodzielnie lub w chmurze.
Invicti można zintegrować z procesem developmentu, aby zapewnić ciągłą ochronę zarówno małych, jak i dużych stron internetowych.
Dzięki unikalnej technologii skanowania opartej na dowodach możesz szybko przeskanować vBulletin lub całą aplikację internetową, aby uzyskać przydatne wyniki. Narzędzie to identyfikuje wiele luk w zabezpieczeniach, w tym te z listy OWASP Top 10.
Podsumowanie
Utrzymanie bezpieczeństwa zasobów online to niełatwe zadanie. Regularne skanowanie vBulletin i innych aplikacji internetowych jest KONIECZNE, aby móc szybko reagować na wykryte luki. Przedstawione narzędzia pomogą Ci znaleźć słabe punkty w zabezpieczeniach. Jeśli szukasz ciągłej ochrony, możesz rozważyć użycie SUCURI Cloud WAF.
Czy artykuł Ci się spodobał? Podziel się nim ze znajomymi!
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.