4 Tools zum Scannen von vBulletin auf Sicherheitslücken

Sicherheitslücken in vBulletin Community-Software identifizieren

vBulletin ist eine verbreitete Software für Community-Foren, die auf über 100.000 Webseiten im Netz genutzt wird. Wie jede andere Software kann auch vBulletin anfällig für Schwachstellen sein, wenn es nicht richtig gehärtet und abgesichert wird.

Es ist empfehlenswert, Ihre mit dem Internet verbundenen Communities regelmäßig auf Schwachstellen zu überprüfen, um diese vor potenziellen Hackern zu beseitigen. Dies kann auf zwei Arten erfolgen:

  • Manuelle Überprüfung: Regelmäßige Sicherheitsüberprüfungen werden manuell durchgeführt.
  • Automatische Überprüfung: Ein cloudbasierter Scanner wird verwendet, um die Überprüfung regelmäßig durchzuführen und Benachrichtigungen bei gefundenen Schwachstellen zu versenden.

Die automatische Methode ist in der Regel die effizientere Lösung.

Warum die Sicherheit eines Forums wichtig ist?

Man könnte argumentieren, dass das Forum nicht der Kern des Geschäfts ist, sondern nur eine Plattform für Diskussionen und den Austausch von Problemen. Doch betrachten wir folgende Situation:

Ein Online-Unternehmen betreibt ein Forum mit über einer Million Benutzern, vernachlässigt jedoch die Sicherheitsaspekte. Eines Tages wird das Forum gehackt und alle Benutzerdaten werden offengelegt.

Dies führt zu Peinlichkeit, Reputationsverlust, Vertrauensverlust der Kunden und möglicherweise weiteren negativen Konsequenzen.

Werfen wir nun einen Blick auf einige nützliche Tools:

VBScan

VBScan ist ein Projekt von OWASP.

VBScan, basierend auf Perl, ist ein Werkzeug zur Analyse von vBulletin auf Sicherheitslücken. Es enthält mehr als 70 Module, die bei der Erkennung von Fehlern helfen.

Die Installation ist unkompliziert und die Software kann auf jedem Betriebssystem verwendet werden.

  • Laden Sie die aktuelle Version von GitHub herunter.
  • Entpacken Sie die heruntergeladene ZIP-Datei.
  • Navigieren Sie in den neu erstellten Ordner.
  • Erteilen Sie der Datei vbscan.pl die Ausführungsberechtigung.
chmod 755 vbscan.pl

Nun können Sie das Tool verwenden!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl https://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#
  

Das Aktualisieren von vbscan ist ebenfalls unkompliziert.

./vbscan.pl --upgrade

CMSScan

Das Tool CMSScan verwendet die Fähigkeiten von VBScan und bietet darüber hinaus einen Scheduler an. Dies ist besonders nützlich, wenn eine Open-Source-Lösung für regelmäßige Scans mit E-Mail-Berichten gesucht wird.

CMSScan unterstützt nicht nur vBulletin, sondern auch WordPress, Joomla und Drupal.

Standardmäßig lauscht das Webinterface auf Port 7070. Beim Zugriff über den Browser wird eine Oberfläche angezeigt, in der die zu scannende URL eingegeben werden kann.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: https://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
  

TLS-Scanner

Der TLS Scanner von wdzwdz ist nicht speziell für vBulletin entwickelt, aber es ist entscheidend sicherzustellen, dass die TLS-Zertifikatsimplementierung korrekt erfolgt. Mit diesem Tool können Sie Ihr vBulletin testen, um das unterstützte TLS-Protokoll, die verwendeten Verschlüsselungen, bekannte Web-Schwachstellen und Zertifikatsdetails zu ermitteln.

Weitere SSL/TLS-Scanner sind ebenfalls verfügbar.

Invicti

Invicti bietet einen Unternehmensscanner, der als selbst gehostete oder Cloud-basierte Lösung zur Verfügung steht.

Invicti kann in den Entwicklungsprozess integriert werden und bietet kontinuierliche Sicherheit für kleine und große Webseiten.

Durch die beweisbasierte Scantechnologie können vBulletin-Installationen oder ganze Webanwendungen zügig auf Schwachstellen überprüft werden, um umsetzbare Ergebnisse zu liefern. Dabei werden eine Vielzahl von Web-Schwachstellen, einschließlich der OWASP Top 10, abgedeckt.

Fazit

Die Sicherheit von Online-Assets ist eine komplexe Herausforderung. Regelmäßige Überprüfungen von vBulletin oder anderen Webanwendungen sind unerlässlich, um potenzielle Sicherheitslücken frühzeitig zu erkennen und zu beheben. Die oben genannten Tools können dabei helfen. Für einen kontinuierlichen Sicherheitsschutz kann die Verwendung einer Cloud WAF wie SUCURI in Betracht gezogen werden.

Hat Ihnen dieser Artikel gefallen? Teilen Sie ihn gerne mit Anderen!