4 інструменти для сканування vBulletin на наявність вразливостей у безпеці

Автор

Виявлення слабких місць у програмному забезпеченні спільноти vBulletin.

vBulletin – це популярна платформа для створення онлайн-спільнот і форумів, яку використовують понад 100 000 веб-сайтів. Як і будь-яке інше програмне забезпечення, vBulletin може бути вразливим до атак, якщо не забезпечити належний рівень захисту.

Рекомендується регулярно проводити сканування вашої онлайн-спільноти для виявлення потенційних слабких місць. Це дозволить вам своєчасно усунути вразливості до того, як ними скористаються зловмисники. Існує два основних способи проведення сканування:

  • Ручний метод: періодичне проведення перевірок безпеки вручну.
  • Автоматичний метод: використання спеціалізованого хмарного сканера для регулярного сканування та отримання сповіщень про виявлені вразливості.

Очевидно, що автоматизований підхід є більш ефективним.

Чому важливо захищати форум?

Можна подумати, що форум – це просто майданчик для спілкування користувачів. Але це не так.

Уявіть, що ваша компанія має форум з мільйоном користувачів. Якщо ви не дбаєте про його безпеку, одного дня хакери можуть зламати його і викрасти всю персональну інформацію користувачів.

Це призведе до значних незручностей, втрати репутації та довіри клієнтів.

Розглянемо деякі інструменти для захисту vBulletin.

VBScan

Проект OWASP.

VBScan – це інструмент на базі Perl, призначений для аналізу vBulletin на наявність вразливостей. Він включає понад 70 модулів для виявлення різних недоліків у системі безпеки.

Встановлення VBScan є доволі простим, і його можна використовувати на будь-якій операційній системі.

  • Завантажте останню версію з GitHub.
  • Розпакуйте завантажений архів (якщо це був zip-файл).
  • Перейдіть до каталогу, створеного після розпакування.
  • Надайте файлу vbscan.pl права на виконання.
chmod 755 vbscan.pl

І все готово!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Оновити VBScan дуже легко.

./vbscan.pl --upgrade

CMSScan

CMSScan має схожі можливості з VBScan. Його важливою перевагою є вбудований планувальник. Це особливо зручно, якщо ви шукаєте рішення з відкритим кодом для автоматичного періодичного сканування та надсилання звітів електронною поштою.

CMSScan може перевіряти не тільки vBulletin, а й такі CMS, як WordPress, Joomla і Drupal.

Веб-інтерфейс CMSScan за замовчуванням працює на порту 7070. Відкривши його у браузері, ви побачите просту сторінку, де можна ввести URL-адресу для сканування.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

Сканер TLS

Сканер TLS від techukraine.net не є специфічним для vBulletin, але він важливий для правильної реалізації TLS-сертифікату. За допомогою цього сканера ви можете перевірити свій vBulletin на підтримку певних протоколів TLS, шифрів, наявність поширених веб-вразливостей, а також отримати деталі про сертифікат.

Також доступні інші сканери SSL/TLS.

Invincti

Invincti – це комерційний сканер, який пропонується у вигляді окремого програмного забезпечення або хмарної служби.

Invincti можна інтегрувати в процес розробки для забезпечення постійного захисту як малих, так і великих веб-сайтів.

Завдяки власній технології сканування з підтвердженням ви можете швидко сканувати vBulletin або інші веб-додатки та отримувати точні результати. Інструмент охоплює широкий спектр веб-вразливостей, включаючи топ-10 OWASP.

Висновок

Забезпечення безпеки онлайн-активів – це складна задача. Тому регулярне сканування vBulletin або будь-яких інших веб-додатків є обов’язковим. Це дозволить вам своєчасно виявляти та усувати вразливості. Наведені вище інструменти можуть допомогти вам виявити недоліки у безпеці. Якщо вам потрібен безперервний захист, ви можете скористатися SUCURI Cloud WAF.

Чи була ця стаття корисною? Поділіться нею зі своїми друзями!