Upptäck svagheter i vBulletin-forumprogramvaran.
vBulletin är en populär forumplattform som driver över 100 000 webbplatser globalt. Liksom all programvara kan vBulletin vara mottaglig för säkerhetsproblem om det inte konfigureras och skyddas ordentligt.
Det är bäst att regelbundet söka igenom ditt webbforum efter potentiella sårbarheter. Detta gör att du kan åtgärda dem innan de utnyttjas av illvilliga aktörer. Det finns två huvudmetoder:
- Manuell: Utför säkerhetskontroller med jämna mellanrum.
- Automatisk: Använd en molnbaserad skanner för regelbunden analys. Du får en notifikation när en sårbarhet upptäcks.
Som du troligen kan gissa är det automatiserade alternativet oftast att föredra.
Varför är forumsäkerhet viktigt?
Man kan argumentera att forumet inte är kärnan i ens verksamhet och bara används för att medlemmar ska kommunicera och ställa frågor.
Men tänk dig detta: Ditt onlineföretag har ett forum med över en miljon användare. Om du inte prioriterar säkerheten kan forumet hackas och användardata läckas.
Det kan leda till pinsamma situationer, förlust av anseende och minskat konsumentförtroende.
Låt oss utforska några verktyg.
VBScan
Ett projekt från OWASP.
VBScan är ett Perl-baserat verktyg för att analysera vBulletin och upptäcka sårbarheter. Det innehåller över 70 moduler för att identifiera brister.
Installationen är enkel och verktyget fungerar på alla operativsystem.
- Ladda ner den senaste versionen från GitHub.
- Packa upp arkivet (om du laddade ner det som en ZIP-fil).
- Navigera till den nya mappen som skapades.
- Ge vbscan.pl körbehörighet.
chmod 755 vbscan.pl
Sedan är du redo att köra igång!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl _ _ ____ ___ ___ __ _ _ ( / )( _ / __) / __) /__ ( ( ) / ) _ <__ ( (__ /(__) ) ( / (____/(___/ ___)(__)(__)(_)_) (1337.today) --=[OWASP VBScan +---++---==[Version : 0.1.8 +---++---==[Update Date : [2018/09/13] +---++---==[Author : Mohammad Reza Espargham +---++---==[Website : www.reza.es --=[Code name : Self Challenge @OWASP_VBScan , @rezesp , @OWASP Usage: ./vbscan.pl <target> ./vbscan.pl http://target.com/vbulletin Options: ./vbscan.pl --help [email protected]:~/vbscan-0.1.8#
Uppdatering av vbscan är enkelt.
./vbscan.pl --upgrade
CMSScan
CMSScan är en vidareutveckling av VBScan. En stor fördel är den inbyggda schemaläggaren. Denna funktion är användbar om du vill automatisera regelbundna genomsökningar och få rapporter via e-post.
CMSScan stöder inte bara vBulletin utan också WordPress, Joomla och Drupal.
Webbgränssnittet lyssnar som standard på port 7070. Genom att besöka detta i webbläsaren ser du en enkel sida där du kan ange den URL som ska skannas.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
TLS-skanner
adminvista.com TLS Scanner är inte specifikt inriktad på vBulletin. Det är dock viktigt att verifiera att din TLS-certifikatimplementation är korrekt. Du kan använda testet på ditt vBulletin-forum för att se vilket TLS-protokoll som används, krypteringsmetoder, vanliga sårbarheter och certifikatdetaljer.
Det finns fler SSL/TLS-skannrar listade här.
Invincti
En företagsanpassad skanner, tillgänglig som självhostad eller molnbaserad lösning.
Invicti kan integreras i utvecklingsprocessen för att ge kontinuerlig säkerhet till webbplatser i alla storlekar.
Med deras patenterade bevisbaserade skanningsteknik kan du snabbt genomsöka ditt vBulletin-forum eller hela webbapplikationer och få praktiska resultat. Verktyget täcker ett brett spektrum av webbsårbarheter, inklusive OWASP Top 10.
Sammanfattning
Att skydda tillgångar online är en utmaning. Regelbunden genomsökning av vBulletin och andra webbapplikationer är nödvändigt för att upptäcka sårbarheter i tid och åtgärda dem. Verktygen ovan hjälper dig att identifiera säkerhetsbrister. För ett kontinuerligt säkerhetsskydd är SUCURI Cloud WAF ett bra val.
Gillade du artikeln? Dela den gärna med andra!