Hitta sårbarheter i vBulletin-gemenskapsprogramvaran.
vBulletin är en av de populära forummjukvaran som driver mer än 100 000 webbplatser på Internet. Som alla program kan vBulletin vara sårbart om det inte härdat och säkrat på rätt sätt.
Som en bästa praxis bör du ofta skanna din Internetanvändande community för att hitta svagheter så att du kan mildra det innan hackarens ögon ser på det. Det finns två sätt:
- Manuell – kör säkerhetsskanning med jämna mellanrum.
- Automatisk – använd en molnbaserad skanner för att skanna regelbundet och du får ett meddelande när en sårbarhet upptäcks.
Som du kan gissa låter det automatiska sättet bättre.
Varför säkra ett forum?
Man kan hävda att min verksamhet inte är forumet. Det är bara för att folk ska prata med varandra, ta upp frågor osv.
Men tänk på det här – ditt onlineföretag har ett forum och det finns mer än 1 miljon användare. Du bryr dig inte om säkerhet, och en dag har någon hackat forumet och läckt alla användardetaljer.
Hur pinsamt, förlust av anseende, förlust av konsumentförtroende, etc.
Låt oss utforska verktygen.
Innehållsförteckning
VBScan
Ett projekt av OWASP.
VBScan är baserat på Perl och kan analysera vBulletin för sårbarheter. Den innehåller mer än 70 moduler för att upptäcka bristerna.
Installationen är enkel och du kan använda den på alla operativsystem.
- Ladda ner den senaste versionen från GitHub
- Packa upp (om du laddade ner källan som en zip-fil)
- Gå till den nyskapade mappen under zip-extrakteringen
- Ändra behörigheten för vbscan.pl för att vara körbar
chmod 755 vbscan.pl
Och du är bra att gå!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=[OWASP VBScan
+---++---==[Version : 0.1.8
+---++---==[Update Date : [2018/09/13]
+---++---==[Author : Mohammad Reza Espargham
+---++---==[Website : www.reza.es
--=[Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
[email protected]:~/vbscan-0.1.8#
Det är enkelt att uppdatera vbscan.
./vbscan.pl --upgrade
CMSScan
Ovan nämnda VBScan-befogenheter CMSScan. En fördel som det erbjuder är schemaläggaren. Detta är bra om du letar efter en öppen källkodslösning för att köra regelbundet och skicka rapporterna via e-post.
Inte bara VBulletin utan CMSScan låter dig också testa WordPress, Joomla, Drupal.
Som standard lyssnar webbgränssnittet på port 7070 och när du kommer åt det i webbläsaren kommer du att se den vackra sidan där du anger webbadressen som ska skannas.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
TLS-skanner
adminvista.com TLS Scanner är inte specifik för vBulletin, men det är viktigt att säkerställa att TLS-certifikatimplementeringen är korrekt. Du kan köra testet mot din vBulletin för att ta reda på det stödda TLS-protokollet, chiffer, vanliga webbsårbarheter och certifikatdetaljer.
Det finns fler SSL/TLS-skanner listade här.
Invincti
En företagsklar skanner är tillgänglig som självvärd eller molnbaserad.
Invicti kan integreras med utveckling för att ge kontinuerlig säkerhet till små eller stora webbplatser.
Med deras egenutvecklade bevisbaserade skanningsteknik kan du snabbt skanna vBulletin eller hela webbapplikationer för att få praktiska resultat. Den täcker ett stort antal webbsårbarheter, inklusive OWASP topp 10.
Slutsats
Att hålla onlinetillgångar säkra är utmanande, och periodisk genomsökning mot vBulletin eller andra webbapplikationer MÅSTE så att du kan mildra så snart sårbarheter upptäcks. Ovanstående verktyg hjälper dig att hitta säkerhetsbristerna, och om du letar efter kontinuerligt säkerhetsskydd kan du välja SUCURI Cloud WAF.
Gillade du att läsa artikeln? Vad sägs om att dela med världen?