4 Tools zum Scannen von vBulletin auf Sicherheitslücken

Finden Sie Schwachstellen in der vBulletin-Community-Software.

vBulletin ist eine der beliebten Community-Forum-Software, die mehr als 100.000 Websites im Internet betreibt. Wie jede Software kann vBulletin anfällig sein, wenn es nicht richtig gehärtet und gesichert wird.

Als Best Practice sollten Sie Ihre mit dem Internet verbundene Community regelmäßig scannen, um Schwachstellen zu finden, damit Sie diese vor den Augen eines Hackers beheben können. Es gibt zwei Möglichkeiten:

  • Manuell – Führen Sie den Sicherheitsscan regelmäßig durch.
  • Automatisch – Nutzen Sie den Cloud-basierten Scanner, um regelmäßig zu scannen, und Sie werden benachrichtigt, wenn eine Schwachstelle gefunden wird.

Wie Sie sich vorstellen können, klingt der automatische Weg besser.

Warum ein Forum sichern?

Man mag argumentieren, mein Geschäft ist nicht das Forum. Es ist nur für Leute, um miteinander zu reden, Probleme anzusprechen usw.

Aber denken Sie darüber nach – Ihr Online-Geschäft hat ein Forum und es gibt mehr als 1 Million Benutzer. Sie kümmern sich nicht um Sicherheit, und eines Tages hat jemand das Forum gehackt und alle Benutzerdaten preisgegeben.

  So verstärken Sie Ihr WLAN-Signal

Wie peinlich, Reputationsverlust, Vertrauensverlust der Verbraucher usw.

Sehen wir uns die Werkzeuge an.

Inhaltsverzeichnis

VBScan

Ein Projekt von OWASP.

VBScan basiert auf Perl und ist in der Lage, vBulletin auf Schwachstellen zu analysieren. Es enthält mehr als 70 Module, um die Fehler zu erkennen.

Die Installation ist unkompliziert und Sie können es auf jedem Betriebssystem verwenden.

  • Laden Sie die neueste Version von herunter GitHub
  • Entpacken (wenn Sie die Quelle als ZIP-Datei heruntergeladen haben)
  • Wechseln Sie während des Entpackens in den neu erstellten Ordner
  • Ändern Sie die Berechtigung von vbscan.pl so, dass es ausführbar ist
chmod 755 vbscan.pl

Und Sie können loslegen!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Das Aktualisieren von vbscan ist einfach.

./vbscan.pl --upgrade

CMSScan

Die oben erwähnten VBScan-Kräfte CMSScan. Ein Vorteil, den es bietet, ist der Scheduler. Dies ist großartig, wenn Sie nach einer Open-Source-Lösung suchen, die regelmäßig ausgeführt und die Berichte per E-Mail gesendet werden.

  Wie sind Flirt.com-Bewertungen?

Nicht nur mit VBulletin, sondern mit CMSScan können Sie auch WordPress, Joomla und Drupal testen.

Standardmäßig lauscht das Webinterface auf Port 7070 und wenn Sie im Browser darauf zugreifen, sehen Sie die schöne Seite, auf der Sie die zu scannende URL eingeben.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS-Scanner

wdzwdz TLS Scanner ist nicht spezifisch für vBulletin, aber es ist wichtig sicherzustellen, dass die Implementierung des TLS-Zertifikats korrekt ist. Sie können den Test für Ihr vBulletin ausführen, um das unterstützte TLS-Protokoll, Chiffren, häufige Web-Schwachstellen und Zertifikatsdetails herauszufinden.

  Können Sie Anzeigen auf dem Roku-Startbildschirm deaktivieren?

Hier sind weitere SSL/TLS-Scanner aufgelistet.

Invincti

Ein unternehmenstauglicher Scanner ist selbst gehostet oder cloudbasiert verfügbar.

Invicti kann in die Entwicklung integriert werden, um kleinen oder großen Websites kontinuierliche Sicherheit zu bieten.

Mit ihrer proprietären beweisbasierten Scantechnologie können Sie vBulletin oder ganze Webanwendungen schnell scannen, um umsetzbare Ergebnisse zu erhalten. Es deckt eine große Anzahl von Web-Schwachstellen ab, einschließlich OWASP Top 10.

Fazit

Die Sicherheit von Online-Assets ist eine Herausforderung, und ein regelmäßiger Scan mit vBulletin oder anderen Webanwendungen ist ein MUSS, damit Sie Schwachstellen eindämmen können, sobald sie gefunden werden. Die oben genannten Tools helfen Ihnen, die Sicherheitslücken zu finden, und wenn Sie nach kontinuierlichem Sicherheitsschutz suchen, können Sie sich für SUCURI Cloud WAF entscheiden.

Haben Sie den Artikel gerne gelesen? Wie wäre es mit der Welt zu teilen?

x