4 алата за скенирање вБуллетин-а за безбедносне пропусте

by
Tweet
Share
Share
Pin

Pronalaženje slabosti u vBulletin softveru

vBulletin je popularan softver za forume, koji pokreće preko 100.000 veb sajtova. Kao i svaki drugi softver, vBulletin može postati ranjiv ako nije adekvatno zaštićen i osiguran.

Kao najbolju praksu, preporučuje se da redovno skenirate vašu javnu forumsku zajednicu u potrazi za slabostima, kako biste ih neutralisali pre nego što ih hakeri iskoriste. Postoje dva načina za to:

  • Ručno – povremeno vršite sigurnosno skeniranje.
  • Automatski – koristite skener zasnovan na oblaku za redovno skeniranje i dobijaćete obaveštenja čim se otkrije ranjivost.

Kao što možete zaključiti, automatski pristup zvuči mnogo bolje.

Zašto je bitno osigurati forum?

Neko bi mogao pomisliti, da forum nije toliko važan za posao, već da služi samo za komunikaciju, postavljanje pitanja i diskusiju.

Ipak, zamislite da vaše online poslovanje ima forum sa više od milion korisnika. Ako zanemarite bezbednost, postoji rizik da jednog dana neko hakuje forum i kompromituje podatke svih korisnika.

To bi dovelo do sramote, gubitka reputacije i poverenja korisnika, između ostalog.

Hajde da pogledamo alate koji vam mogu pomoći.

VBScan

Ovaj alat je projekat OWASP-a.

VBScan je napisan u Perl-u i dizajniran je za analizu vBulletin ranjivosti. Sadrži više od 70 modula za detekciju različitih nedostataka.

Instalacija je jednostavna i može se koristiti na bilo kom operativnom sistemu.

  • Preuzmite najnoviju verziju sa GitHub
  • Raspakujte preuzetu datoteku (ako ste preuzeli ZIP arhivu)
  • Uđite u novonastalu fasciklu
  • Promenite dozvole `vbscan.pl` datoteke da bude izvršna
chmod 755 vbscan.pl

I spremni ste za korišćenje!

  [email protected]:~/vbscan-0.1.8# ./vbscan.pl
    _  _  ____  ___   ___    __    _  _
   ( / )(  _ / __) / __)  /__  ( ( )
      /  ) _ <__ ( (__  /(__)  )  (
     /  (____/(___/ ___)(__)(__)(_)_)
           (1337.today)
    
      --=[OWASP VBScan
      +---++---==[Version : 0.1.8
      +---++---==[Update Date : [2018/09/13]
      +---++---==[Author : Mohammad Reza Espargham
      +---++---==[Website : www.reza.es
      --=[Code name : Self Challenge
       @OWASP_VBScan , @rezesp , @OWASP
    
    
     Usage: 
    	./vbscan.pl <target>
    	./vbscan.pl http://target.com/vbulletin
    
    
     Options: 
    	./vbscan.pl --help
    
  [email protected]:~/vbscan-0.1.8#

Ažuriranje VBScan-a je jednostavno.

./vbscan.pl --upgrade

CMSSCan

Pored funkcionalnosti VBScan-a, CMSScan pruža i dodatne prednosti. Jedna od njih je mogućnost planiranja skeniranja. Ovo je idealno ukoliko tražite rešenje otvorenog koda za redovno skeniranje i slanje izveštaja putem e-pošte.

Osim za vBulletin, CMSScan vam omogućava da testirate i WordPress, Joomla i Drupal.

Podrazumevano, web interfejs sluša na portu 7070, i kada pristupite putem pretraživača, prikazaće vam se stranica gde možete uneti URL za skeniranje.

  [email protected]:~/CMSScan# ./run.sh 
  [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
  [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
  [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
  [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
  [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
  [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS Skener

Iako vdzv dz TLS skener nije specifičan za vBulletin, od ključne je važnosti kako biste se uverili da je implementacija TLS sertifikata ispravna. Možete testirati vaš vBulletin sajt da proverite koji TLS protokol se koristi, šifre, kao i potencijalne veb propuste i detalje sertifikata.

Ovde možete naći i druge SSL/TLS skenere.

Invicti

Ovaj skener je namenjen za korišćenje u preduzećima, a dostupan je kao hostovan ili u cloud verziji.

Invicti se može integrisati sa razvojnim procesom kako bi se osigurala kontinuirana bezbednost za male i velike veb sajtove.

Sa njihovom patentiranom tehnologijom skeniranja, zasnovanom na dokazima, možete brzo skenirati vBulletin ili cele web aplikacije i dobiti efikasne rezultate. Pokriva veliki broj veb ranjivosti, uključujući i OWASP top 10.

Zaključak

Održavanje bezbednosti online resursa je izazov, i redovno skeniranje vBulletin-a, ili bilo koje web aplikacije je neophodno kako biste ublažili posledice čim se otkrije ranjivost. Navedeni alati vam mogu pomoći u pronalaženju sigurnosnih propusta, a ukoliko tražite kontinuiranu zaštitu, možete izabrati Sucuri Cloud WAF.

Da li vam se svideo ovaj članak? Podelite ga sa drugima!