4 Eszközök a vBulletin biztonsági rések keresésére

Szerző:
Tweet
Share
Share
Pin

Keresse meg a vBulletin közösségi szoftver sebezhetőségét.

A vBulletin az egyik népszerű közösségi fórum szoftver, amely több mint 100 000 webhelyet működtet az interneten. Mint minden szoftver, a vBulletin is sebezhető lehet, ha nincs megfelelően megerősítve és biztonságos.

Legjobb gyakorlatként érdemes gyakran átvizsgálni az internettel rendelkező közösséget, hogy megtalálja a gyengeségeket, így a hackerek szeme előtt enyhíteni tudja azt. Két módja van:

  • Kézi – rendszeresen futtasson biztonsági vizsgálatot.
  • Automatikus – használja a felhőalapú szkennert a rendszeres vizsgálathoz, és értesítést kap, ha biztonsági rést talál.

Ahogy sejtheti, az automatikus mód jobban hangzik.

Miért kell fórumot biztosítani?

Lehet vitatkozni, az én dolgom nem a fórum. Csak azért, hogy az emberek beszéljenek egymással, problémákat vetjenek fel stb.

De gondoljon erre – online vállalkozásának van fóruma, és több mint 1 millió felhasználója van. Nem törődik a biztonsággal, és egy nap valaki feltörte a fórumot, és kiszivárogtatta az összes felhasználói adatot.

  Microsoft Teams naplók generálása hibaelhárításhoz

Mennyire kínos, hírnévvesztés, fogyasztói bizalomvesztés stb.

Fedezzük fel az eszközöket.

Tartalomjegyzék

VBScan

Az OWASP projektje.

VBScan Perl alapú, és képes a vBulletin sebezhetőségeinek elemzésére. Több mint 70 modult tartalmaz a hibák észlelésére.

A telepítés egyszerű, és bármilyen operációs rendszeren használható.

  • Töltse le a legújabb verziót innen GitHub
  • Kicsomagolás (ha a forrást zip fájlként töltötte le)
  • A zip-kicsomagolás során lépjen az újonnan létrehozott mappába
  • Módosítsa a vbscan.pl engedélyét végrehajthatóvá
chmod 755 vbscan.pl

És már indulhatsz is!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

A vbscan frissítése egyszerű.

./vbscan.pl --upgrade

CMSScan

A fent említett VBScan képességei CMSScan. Az egyik előnye az ütemező. Ez nagyszerű, ha olyan nyílt forráskódú megoldást keres, amely rendszeresen fut, és e-mailben elküldi a jelentéseket.

  Hogyan lehet megtudni, hogy mely folyamatok akadályozzák meg a Macet az elalvástól

Nem csak a VBulletin, hanem a CMSScan is lehetővé teszi a WordPress, Joomla, Drupal tesztelését.

Alapértelmezés szerint a webes felület a 7070-es porton figyel, és amikor ezt a böngészőben eléri, látni fogja azt a gyönyörű oldalt, ahol beírja a vizsgálandó URL-t.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS szkenner

A etoppc.com TLS Scanner nem kifejezetten a vBulletin-re vonatkozik, de elengedhetetlen a TLS-tanúsítvány megvalósításának megfelelőségének biztosítása. Futtathatja a tesztet a vBulletin ellen, hogy megtudja a támogatott TLS-protokollokat, a titkosításokat, a gyakori webes sebezhetőségeket és a tanúsítvány részleteit.

  Hogyan oltsunk el tábortüzet a Minecraftban

További SSL/TLS szkennerek találhatók itt.

Invincti

A vállalati használatra kész szkenner elérhető önállóan vagy felhő alapúként.

Invicti fejlesztéssel integrálható a kis vagy nagy weboldalak folyamatos biztonsága érdekében.

A szabadalmaztatott proof-alapú szkennelési technológiájukkal gyorsan átvizsgálhatja a vBulletin-t vagy a teljes webalkalmazásokat, és tényleges eredményeket érhet el. Számos webes sebezhetőséget fed le, köztük az OWASP top 10-et.

Következtetés

Az online eszközök biztonságban tartása kihívást jelent, és a vBulletin vagy bármely webes alkalmazás elleni időszakos vizsgálat KÖTELEZŐ, hogy a sebezhetőséget azonnal enyhíthesse. A fenti eszközök segítenek megtalálni a biztonsági hibákat, és ha folyamatos biztonsági védelmet keres, akkor választhatja a SUCURI Cloud WAF-ot.

Élvezettel olvasta a cikket? Mit szólnál a világgal való megosztáshoz?

Tweet
Share
Share
Pin