Znajdź luki w oprogramowaniu społeczności vBulletin.
vBulletin to jedna z popularnych społeczności, oprogramowanie forum obsługujące ponad 100 000 witryn w Internecie. Jak każde oprogramowanie, vBulletin może być podatny na ataki, jeśli nie zostanie odpowiednio wzmocniony i zabezpieczony.
W ramach najlepszej praktyki powinieneś często skanować swoją społeczność internetową, aby znaleźć słabości, aby móc je złagodzić, zanim spojrzy hakerom. Istnieją dwa sposoby:
- Ręczny – uruchamiaj okresowo skanowanie bezpieczeństwa.
- Automatycznie — korzystaj ze skanera opartego na chmurze, aby regularnie skanować, a otrzymasz powiadomienie o wykryciu luki w zabezpieczeniach.
Jak łatwo się domyślić, sposób automatyczny brzmi lepiej.
Po co zabezpieczać forum?
Ktoś może się spierać, mój biznes to nie forum. Po prostu ludzie mogą ze sobą rozmawiać, zgłaszać problemy itp.
Ale pomyśl o tym – Twoja firma internetowa ma forum i ma ponad milion użytkowników. Nie dbasz o bezpieczeństwo, a pewnego dnia ktoś włamał się na forum i ujawnił wszystkie dane użytkownika.
Jak żenujące, utrata reputacji, utrata zaufania konsumentów itp.
Przyjrzyjmy się narzędziom.
Spis treści:
VBScan
Projekt autorstwa OWASP.
VBScan jest oparty na Perlu i potrafi analizować vBulletin pod kątem luk. Zawiera ponad 70 modułów do wykrywania wad.
Instalacja jest prosta i można jej używać w dowolnym systemie operacyjnym.
- Pobierz najnowszą wersję z GitHub
- Rozpakuj (jeśli pobrałeś źródło jako plik zip)
- Przejdź do nowo utworzonego folderu podczas rozpakowywania zip
- Zmień uprawnienia vbscan.pl na wykonywalne
chmod 755 vbscan.pl
I jesteś gotowy!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=[OWASP VBScan
+---++---==[Version : 0.1.8
+---++---==[Update Date : [2018/09/13]
+---++---==[Author : Mohammad Reza Espargham
+---++---==[Website : www.reza.es
--=[Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
[email protected]:~/vbscan-0.1.8#
Aktualizacja vbscan jest łatwa.
./vbscan.pl --upgrade
Skanowanie CMS
Wyżej wymienione uprawnienia VBScan Skanowanie CMS. Jedną z zalet, jakie oferuje, jest harmonogram. Jest to świetne rozwiązanie, jeśli szukasz rozwiązania typu open source do okresowego uruchamiania i wysyłania raportów pocztą e-mail.
Nie tylko VBulletin, ale i CMSScan pozwalają również testować WordPress, Joomla, Drupal.
Domyślnie interfejs sieciowy nasłuchuje na porcie 7070, a po uzyskaniu dostępu do niego w przeglądarce zobaczysz piękną stronę, na której wpisujesz adres URL do skanowania.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
Skaner TLS
Skaner TLS newsblog.pl nie jest specyficzny dla vBulletin, ale jest niezbędny do zapewnienia poprawnej implementacji certyfikatu TLS. Możesz uruchomić test na swoim vBulletin, aby znaleźć obsługiwany protokół TLS, szyfry, typowe luki w zabezpieczeniach sieci Web i szczegóły certyfikatu.
Na liście znajduje się więcej skanerów SSL/TLS.
Niewinny
Skaner gotowy do pracy w przedsiębiorstwie jest dostępny jako hostowany samodzielnie lub w chmurze.
Invicti można zintegrować z programowaniem, aby zapewnić ciągłą ochronę małych lub dużych witryn internetowych.
Dzięki zastrzeżonej technologii skanowania opartej na dowodach możesz szybko skanować vBulletin lub całe aplikacje internetowe, aby uzyskać przydatne wyniki. Obejmuje dużą liczbę luk internetowych, w tym OWASP top 10.
Wniosek
Utrzymanie bezpieczeństwa zasobów online jest trudne, a okresowe skanowanie pod kątem vBulletin lub innych aplikacji internetowych jest MUSI, aby można było je złagodzić, gdy tylko zostaną znalezione luki. Powyższe narzędzia pomogą Ci znaleźć luki w zabezpieczeniach, a jeśli szukasz ciągłej ochrony bezpieczeństwa, możesz wybrać SUCURI Cloud WAF.
Podobał Ci się artykuł? Co powiesz na dzielenie się ze światem?