Keresse meg a vBulletin közösségi szoftver sebezhetőségét.
A vBulletin az egyik népszerű közösségi fórum szoftver, amely több mint 100 000 webhelyet működtet az interneten. Mint minden szoftver, a vBulletin is sebezhető lehet, ha nincs megfelelően megerősítve és biztonságos.
Legjobb gyakorlatként érdemes gyakran átvizsgálni az internettel rendelkező közösséget, hogy megtalálja a gyengeségeket, így a hackerek szeme előtt enyhíteni tudja azt. Két módja van:
- Kézi – rendszeresen futtasson biztonsági vizsgálatot.
- Automatikus – használja a felhőalapú szkennert a rendszeres vizsgálathoz, és értesítést kap, ha biztonsági rést talál.
Ahogy sejtheti, az automatikus mód jobban hangzik.
Miért kell fórumot biztosítani?
Lehet vitatkozni, az én dolgom nem a fórum. Csak azért, hogy az emberek beszéljenek egymással, problémákat vetjenek fel stb.
De gondoljon erre – online vállalkozásának van fóruma, és több mint 1 millió felhasználója van. Nem törődik a biztonsággal, és egy nap valaki feltörte a fórumot, és kiszivárogtatta az összes felhasználói adatot.
Mennyire kínos, hírnévvesztés, fogyasztói bizalomvesztés stb.
Fedezzük fel az eszközöket.
Tartalomjegyzék
VBScan
Az OWASP projektje.
VBScan Perl alapú, és képes a vBulletin sebezhetőségeinek elemzésére. Több mint 70 modult tartalmaz a hibák észlelésére.
A telepítés egyszerű, és bármilyen operációs rendszeren használható.
- Töltse le a legújabb verziót innen GitHub
- Kicsomagolás (ha a forrást zip fájlként töltötte le)
- A zip-kicsomagolás során lépjen az újonnan létrehozott mappába
- Módosítsa a vbscan.pl engedélyét végrehajthatóvá
chmod 755 vbscan.pl
És már indulhatsz is!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl _ _ ____ ___ ___ __ _ _ ( / )( _ / __) / __) /__ ( ( ) / ) _ <__ ( (__ /(__) ) ( / (____/(___/ ___)(__)(__)(_)_) (1337.today) --=[OWASP VBScan +---++---==[Version : 0.1.8 +---++---==[Update Date : [2018/09/13] +---++---==[Author : Mohammad Reza Espargham +---++---==[Website : www.reza.es --=[Code name : Self Challenge @OWASP_VBScan , @rezesp , @OWASP Usage: ./vbscan.pl <target> ./vbscan.pl http://target.com/vbulletin Options: ./vbscan.pl --help [email protected]:~/vbscan-0.1.8#
A vbscan frissítése egyszerű.
./vbscan.pl --upgrade
CMSScan
A fent említett VBScan képességei CMSScan. Az egyik előnye az ütemező. Ez nagyszerű, ha olyan nyílt forráskódú megoldást keres, amely rendszeresen fut, és e-mailben elküldi a jelentéseket.
Nem csak a VBulletin, hanem a CMSScan is lehetővé teszi a WordPress, Joomla, Drupal tesztelését.
Alapértelmezés szerint a webes felület a 7070-es porton figyel, és amikor ezt a böngészőben eléri, látni fogja azt a gyönyörű oldalt, ahol beírja a vizsgálandó URL-t.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
TLS szkenner
A etoppc.com TLS Scanner nem kifejezetten a vBulletin-re vonatkozik, de elengedhetetlen a TLS-tanúsítvány megvalósításának megfelelőségének biztosítása. Futtathatja a tesztet a vBulletin ellen, hogy megtudja a támogatott TLS-protokollokat, a titkosításokat, a gyakori webes sebezhetőségeket és a tanúsítvány részleteit.
További SSL/TLS szkennerek találhatók itt.
Invincti
A vállalati használatra kész szkenner elérhető önállóan vagy felhő alapúként.
Invicti fejlesztéssel integrálható a kis vagy nagy weboldalak folyamatos biztonsága érdekében.
A szabadalmaztatott proof-alapú szkennelési technológiájukkal gyorsan átvizsgálhatja a vBulletin-t vagy a teljes webalkalmazásokat, és tényleges eredményeket érhet el. Számos webes sebezhetőséget fed le, köztük az OWASP top 10-et.
Következtetés
Az online eszközök biztonságban tartása kihívást jelent, és a vBulletin vagy bármely webes alkalmazás elleni időszakos vizsgálat KÖTELEZŐ, hogy a sebezhetőséget azonnal enyhíthesse. A fenti eszközök segítenek megtalálni a biztonsági hibákat, és ha folyamatos biztonsági védelmet keres, akkor választhatja a SUCURI Cloud WAF-ot.
Élvezettel olvasta a cikket? Mit szólnál a világgal való megosztáshoz?