Как найти уязвимости в системе Drupal CMS (Content Management System)?
Drupal является третьей по популярности CMS с открытым исходным кодом, используемой с долей рынка более 4,5%.
На нем работает около миллиона сайтов, которых более чем достаточно для привлечения внимания злоумышленника или хакера.
Если вы используете Drupal для своего сайта и не уверены в том, что он защищен от известных уязвимостей, он не раскрывает конфиденциальную информацию, содержит неверную конфигурацию и т. д., тогда вам помогут следующие инструменты.
1. Droopescan
Droopescan – это сканер на основе python, который поможет исследователю безопасности найти основные риски в установленной версии Drupal.
Существуют следующие четыре основные проверки, выполняемые этой крошечной программой:
- Плагины
- Темы
- Версии
- Специальные URL (admin, readme, журнал изменений и т. д.)
root@itsecforu:~/droopescan# droopescan scan drupal -u http://bloggerflare.com [+] No themes found. [+] Possible interesting urls found: Default admin - http://bloggerflare.com/user/login [+] Possible version(s): 8.5.0 8.5.0-alpha1 8.5.0-beta1 8.5.0-rc1 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6 [+] No plugins found. [+] Scan finished (0:03:32.286747 elapsed)
Возможно, вы поняли; это не онлайн-сканер, поэтому вам нужно установить Python и клонировать код на вашем сервере для запуска теста.
Вы можете выполнить тест по нескольким URL одновременно, и результаты отображаются на терминале.
Droopescan также может работать с WordPress, Joomla, Moodle и SilverStripe.
Но для WordPress я бы рекомендовал проверить этот список сканеров:
12 cканеров Web-безопасности с открытым исходным кодом для поиска уязвимостей
2 Pentest-Tools
Сканирование уязвимостей Drupal от Pentest-Tools – это онлайн-сканер, в котором вы можете проверить безопасность своего сайта, чтобы узнать об уязвимостях в плагинах, конфигурационных файлах и файлах ядра.
Результаты сканирования хорошо объяснены, и у вас есть возможность получить отчет в формате PDF.
Для запуска этого инструмента требуется 50 кредитов.
3 Drupwn
Утилита на основе python для выполнения перечисления и использования с версиями Drupal 6 и 8. Вы можете запустить Drupwn в двух режимах.
Перечисление может проверить следующее:
- Cookies
- User-agent
- Logging
- User
- Node
- Module
- Theme
- Request delay
И, эксплуатируйте режим для проверки уязвимостей.
Вы можете начать его использование с установки с использованием Python или образа Docker.
4 SUCURI SiteCheck
SUCURI SiteCheck – это общий сканер безопасности, который позволяет быстро узнать, заражен ли ваш сайт Drupal известными вредоносными программами, отягощен ли он устаревшим программным обеспечением, занесенным в черный список или наличием популярных ошибок веб-сайтов.
Ничего особенного для Drupal, но он может сканировать любой интернет-сайт.
SUCURI также обеспечивает постоянную защиту сайтов Drupal для защиты и ускорения.
Это комплексная защита от злоумышленников / хакеров, атаки DDoS для малого бизнеса.
5 Hacker Target
Бесплатное онлайн-пассивное сканирование для выполнения базовых тестов.
- Определить тему, плагины и iFrame
- Показать клиентские файлы JavaScript
- Определить Depupect Drupal и проверить, является ли он уязвимым
- Проверить, включен ли URL в черный список Google
- Проверить, включена ли индексация каталогов
Это не всеобъемлющий тест, но хороший для начала.
6 Acunetix
Облачный сканер для обнаружения уязвимостей в CMS, включая Drupal.
Acunetix обнаруживает угрозы безопасности на top 10 OWASP и известных онлайн-уязвимостей с более чем 500 типами атак.
Если вы используете Drupal в большой организации, где вы должны представить отчет о соответствии, тогда вы будете защищены.
Вы можете генерировать отчет о соответствии стандартам PCI DSS, HIPAA и т. д. на панели управления.
Они предлагают 14-дневную пробную версию.
Вы можете выбрать свой онлайн-сканер, чтобы вам не нужно было ничего устанавливать на вашем сервере.
7 Sqreen
Сканер Sqreen не предназначен именно для Drupal, но применим к любому современному приложению или интернет-магазину, чтобы найти некоторые из следующих распространенных уязвимостей к известным атакам.
- SQL-инъекция
- Межсайтовый скриптинг
- MIME sniffing
- Нарушение данных в сообщении
- ClickJacking
- DDoS
8 Detectify
Проверьте наличие более 1000 уязвимостей с помощью Detectify.
Этот сканер не только для Drupal, также вы можете тестировать другие платформы (WordPress, Joomla, JavaScript, PHP и т.д.).
Вы можете начать БЕСПЛАТНО полный аудит безопасности веб-сайта.
Хорошая особенность Detectify заключается в том, что вы получаете отчет о действиях, который легко отслеживать, чтобы быстрее снизить риски.
Я надеюсь, что эти инструменты помогут вам найти угрозы безопасности на вашем сайте Drupal, чтобы вы могли исправить их, прежде чем кто-то воспользуется ими.
Оставайтесь в безопасности!