🔍 4 инструмента для сканирования vBulletin на наличие уязвимостей — Information Security Squad
🔍 4 инструмента для сканирования vBulletin на наличие уязвимостей

Как найти уязвимости в программном обеспечении сообщества vBulletin.

vBulletin — это одно из самых популярных сообществ, программное обеспечение для форумов, поддерживающее более 100 000 сайтов в Интернете.

Как и любое программное обеспечение, vBulletin может быть уязвимым, если он не защищен должным образом.

Рекомендуется часто сканировать свое интернет-сообщество, чтобы найти слабые стороны, чтобы вы могли закрыть, прежде чем вас взломают.

Есть два способа:

  • Вручную — периодически запускать проверку безопасности.
  • Автоматически — используйте облачный сканер для регулярного сканирования, и вы будете получать уведомления при обнаружении уязвимости.
Как вы можете догадаться, автоматический способ намного лучше.

Зачем защищать форум?

Кто-то может поспорить, что мол мой бизнес это же не форум.

Люди просто разговаривают друг с другом, поднимают вопросы и т. д.

Но подумайте об этом с другой стороны — у вашего онлайн-бизнеса есть форум, а количество пользователей превышает 1 миллион.

Вы не заботитесь о его безопасности, и однажды кто-то взломает форум и сольет все данные пользователей.

На лицо потеря репутации, потеря доверия потребителей и т. д.

Давайте рассмотрим инструменты для сканирования.

1 VBScan

Проект OWASP.

VBScan основан на Perl и способен анализировать vBulletin на наличие уязвимостей.

Включает более 70 модулей для выявления недостатков.

Установка проста, и вы можете использовать ее на любой ОС.

  • Скачайте последнюю версию с GitHub
  • Распакуйте (если вы скачали исходный код в виде zip-файла)
  • Перейдите во вновь созданную папку во время извлечения zip
  • Изменить права скрипта vbscan.pl на исполняемые
chmod 755 vbscan.pl

И запускайте скрипт:

~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( \/ )(  _ \/ __) / __)  /__\  ( \( )
  \  /  ) _ <\__ \( (__  /(__)\  )  (
   \/  (____/(___/ \___)(__)(__)(_)\_)
		(1337.today)

    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage:
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options:
	./vbscan.pl --help
Обновление vbscan таже очень простое:
./vbscan.pl --upgrade

2 CMSScan

Вышеупомянутые возможности VBScan есть и у CMSScan.

Одним из преимуществ, которое он предлагает, является планировщик.

Это замечательно, если вы ищете решение с открытым исходным кодом для периодического запуска и отправки отчетов по электронной почте.

Он работает не только с VBulletin, CMSScan также позволяет вам тестировать WordPress, Joomla, Drupal.

По умолчанию веб-интерфейс прослушивает порт 7070, и при обращении к нему в браузере вы увидите красивую страницу, где вы вводите сканируемый URL-адрес.

./run.sh
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

3 TLS Scanner

Geekflare TLS Scanner не является специфическим для vBulletin, но важно убедиться, что реализация TLS-сертификата у вас правильная.
Вы можете запустить тест на своем vBulletin, чтобы узнать поддерживаемый протокол TLS, алгоритмы, распространенные веб-уязвимости и сведения о сертификате.

4 Netsparker

Готовый к работе сканер доступен как в автономном, так и в облачном хранилище.

Netsparker может быть интегрирован с разработкой, чтобы обеспечить постоянную безопасность для небольших или больших веб-сайтов.

С их запатентованной технологией сканирования, вы можете быстро сканировать vBulletin или целые веб-приложения, чтобы получить реальные результаты.
Он охватывает большое количество веб-уязвимостей, в том числе top 10 OWASP.

Заключение

Обеспечение безопасности онлайн-активов является сложной задачей, поэтому НЕОБХОДИМО периодически проверять vBulletin или любые веб-приложения, чтобы вы могли устранить уязвимости, как только они будут обнаружены.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *