8 сканеров безопасности Drupal для поиска уязвимостей

Как найти уязвимости в системе Drupal CMS (Content Management System)?

Drupal является третьей по популярности CMS с открытым исходным кодом, используемой с долей рынка более 4,5%.

На нем работает около миллиона сайтов, которых более чем достаточно для привлечения внимания злоумышленника или хакера.

Если вы используете Drupal для своего сайта и не уверены в том, что он защищен от известных уязвимостей, он не раскрывает конфиденциальную информацию, содержит неверную конфигурацию и т. д., тогда вам помогут следующие инструменты.

1. Droopescan

Droopescan — это сканер на основе python, который поможет исследователю безопасности найти основные риски в установленной версии Drupal.

Существуют следующие четыре основные проверки, выполняемые этой крошечной программой:

  1. Плагины
  2. Темы
  3. Версии
  4. Специальные URL (admin, readme, журнал изменений и т. д.)
root@itsecforu:~/droopescan# droopescan scan drupal -u http://bloggerflare.com
[+] No themes found.                                                            
[+] Possible interesting urls found:
    Default admin - http://bloggerflare.com/user/login
[+] Possible version(s):
    8.5.0
    8.5.0-alpha1
    8.5.0-beta1
    8.5.0-rc1
    8.5.1
    8.5.2
    8.5.3
    8.5.4
    8.5.5
    8.5.6
[+] No plugins found.
[+] Scan finished (0:03:32.286747 elapsed)

Возможно, вы поняли; это не онлайн-сканер, поэтому вам нужно установить Python и клонировать код на вашем сервере для запуска теста.

Вы можете выполнить тест по нескольким URL одновременно, и результаты отображаются на терминале.

Droopescan также может работать с WordPress, Joomla, Moodle и SilverStripe.

Но для WordPress я бы рекомендовал проверить этот список сканеров:

12 cканеров Web-безопасности с открытым исходным кодом для поиска уязвимостей

Pentest-Tools

Сканирование уязвимостей Drupal от Pentest-Tools — это онлайн-сканер, в котором вы можете проверить безопасность своего сайта, чтобы узнать об уязвимостях в плагинах, конфигурационных файлах и файлах ядра.

Результаты сканирования хорошо объяснены, и у вас есть возможность получить отчет в формате PDF.

Для запуска этого инструмента требуется 50 кредитов.

Drupwn

Утилита на основе python для выполнения перечисления и использования с версиями Drupal 6 и 8. Вы можете запустить Drupwn в двух режимах.

Перечисление может проверить следующее:

  • Cookies
  • User-agent
  • Logging
  • User
  • Node
  • Module
  • Theme
  • Request delay

И, эксплуатируйте режим для проверки уязвимостей.

Вы можете начать его использование с установки с использованием Python или образа Docker.

SUCURI SiteCheck

SUCURI SiteCheck — это общий сканер безопасности, который позволяет быстро узнать, заражен ли ваш сайт Drupal известными вредоносными программами, отягощен ли он устаревшим программным обеспечением, занесенным в черный список или наличием популярных ошибок веб-сайтов.

Ничего особенного для Drupal, но он может сканировать любой интернет-сайт.

SUCURI также обеспечивает постоянную защиту сайтов Drupal для защиты и ускорения.

Это комплексная защита от злоумышленников / хакеров, атаки DDoS для малого бизнеса.

Hacker Target

Бесплатное онлайн-пассивное сканирование для выполнения базовых тестов.

  • Определить тему, плагины и iFrame
  • Показать клиентские файлы JavaScript
  • Определить Depupect Drupal и проверить, является ли он уязвимым
  • Проверить, включен ли URL в черный список Google
  • Проверить, включена ли индексация каталогов

Это не всеобъемлющий тест, но хороший для начала.

Acunetix

Облачный сканер для обнаружения уязвимостей в CMS, включая Drupal.

Acunetix обнаруживает угрозы безопасности на top 10 OWASP и известных онлайн-уязвимостей с более чем 500 типами атак.

Если вы используете Drupal в большой организации, где вы должны представить отчет о соответствии, тогда вы будете защищены.

Вы можете генерировать отчет о соответствии стандартам PCI DSS, HIPAA и т. д. на панели управления.

Они предлагают 14-дневную пробную версию.

Вы можете выбрать свой онлайн-сканер, чтобы вам не нужно было ничего устанавливать на вашем сервере.

Sqreen

Сканер Sqreen не предназначен именно для Drupal, но применим к любому современному приложению или интернет-магазину, чтобы найти некоторые из следующих распространенных уязвимостей к известным атакам.

  • SQL-инъекция
  • Межсайтовый скриптинг
  • MIME sniffing
  • Нарушение данных в сообщении
  • ClickJacking
  • DDoS

Detectify

Проверьте наличие более 1000 уязвимостей с помощью Detectify.

Этот сканер не только для Drupal, также вы можете тестировать другие платформы (WordPress, Joomla, JavaScript, PHP и т.д.).

Вы можете начать БЕСПЛАТНО полный аудит безопасности веб-сайта.

Хорошая особенность Detectify заключается в том, что вы получаете отчет о действиях, который легко отслеживать, чтобы быстрее снизить риски.

Я надеюсь, что эти инструменты помогут вам найти угрозы безопасности на вашем сайте Drupal, чтобы вы могли исправить их, прежде чем кто-то воспользуется ими.

Оставайтесь в безопасности!

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40