4 værktøjer til at scanne vBulletin for sikkerhedssårbarheder

Find sårbarheder i vBulletin-fællesskabssoftware.

vBulletin er en af ​​de populære forumsoftware, der driver mere end 100.000 websteder på internettet. Som enhver software kan vBulletin være sårbar, hvis den ikke er hærdet og sikret korrekt.

Som en bedste praksis bør du ofte scanne dit internet-vendte fællesskab for at finde svagheder, så du kan afbøde det, før hackeren ser på det. Der er to måder:

• Manuel – kør en sikkerhedsscanning med jævne mellemrum.
• Automatisk – udnyt den skybaserede scanner til at scanne regelmæssigt, og du får besked, hver gang en sårbarhed er fundet.

Som du kan gætte, lyder den automatiske måde bedre.

Hvorfor sikre et forum?

Man kan argumentere, min virksomhed er ikke forummet. Det er bare for, at folk skal tale sammen, rejse spørgsmål osv.

Men tænk over dette – din online forretning har et forum, og der er mere end 1 million brugere. Du er ligeglad med sikkerheden, og en dag har nogen hacket forummet og lækket alle brugerdetaljerne.

Hvor pinligt, tab af omdømme, tab af forbrugertillid osv.

Lad os udforske værktøjerne.

VBScan

Et projekt af OWASP.

VBScan er baseret på Perl og i stand til at analysere vBulletin for sårbarheder. Den indeholder mere end 70 moduler til at opdage fejlene.

Installationen er ligetil, og du kan bruge den på ethvert operativsystem.

• Download den seneste version fra GitHub
• Unzip (hvis du downloadede kilden som en zip-fil)
• Gå til den nyoprettede mappe under zip-udtrækning
• Skift tilladelsen for vbscan.pl til at være eksekverbar

chmod 755 vbscan.pl

Og du er god til at gå!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Det er nemt at opdatere vbscan.

./vbscan.pl --upgrade

CMSScan

Ovennævnte VBScan-beføjelser CMSScan. En fordel, det giver, er skemalæggeren. Dette er fantastisk, hvis du leder efter en open source-løsning til at køre med jævne mellemrum og sende rapporterne via e-mail.

Ikke kun VBulletin, men CMSS kan også lade dig teste WordPress, Joomla, Drupal.

Som standard lytter webgrænsefladen på port 7070, og når du tilgår det i browseren, vil du se den smukke side, hvor du indtaster URL’en, der skal scannes.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS scanner

toadmin.dk TLS Scanner er ikke specifik for vBulletin, men det er vigtigt at sikre, at TLS-certifikatimplementeringen er korrekt. Du kan køre testen mod din vBulletin for at finde ud af den understøttede TLS-protokol, cifre, almindelige websårbarheder og certifikatdetaljer.

Der er flere SSL/TLS-scannere på listen her.

Invincti

En virksomhedsklar scanner er tilgængelig som selv-hostet eller cloud-baseret.

Invicti kan integreres med udvikling for at give kontinuerlig sikkerhed til små eller store hjemmesider.

Med deres proprietære bevisbaserede scanningsteknologi kan du scanne vBulletin eller hele webapplikationer hurtigt for at få brugbare resultater. Den dækker et stort antal websårbarheder, herunder OWASP top 10.

Konklusion

Det er udfordrende at holde onlineaktiver sikre, og periodisk scanning mod vBulletin eller andre webapplikationer er SKAL, så du kan afbøde, så snart der er fundet sårbarheder. Ovenstående værktøjer hjælper dig med at finde sikkerhedsfejlene, og hvis du leder efter kontinuerlig sikkerhedsbeskyttelse, kan du vælge SUCURI Cloud WAF.

Nydt at læse artiklen? Hvad med at dele med verden?