4 เครื่องมือในการสแกน vBulletin เพื่อหาช่องโหว่ด้านความปลอดภัย

ค้นหาช่องโหว่ในซอฟต์แวร์ชุมชน vBulletin

vBulletin เป็นหนึ่งในชุมชนยอดนิยม ซึ่งเป็นซอฟต์แวร์ฟอรัมที่ให้บริการไซต์มากกว่า 100,000 แห่งบนอินเทอร์เน็ต เช่นเดียวกับซอฟต์แวร์อื่นๆ vBulletin อาจมีช่องโหว่หากไม่ได้รับการเสริมความแข็งแกร่งและรักษาความปลอดภัยอย่างถูกต้อง

ตามแนวทางปฏิบัติที่ดีที่สุด คุณควรสแกนชุมชนที่เชื่อมต่ออินเทอร์เน็ตของคุณบ่อยๆ เพื่อหาจุดอ่อน เพื่อให้คุณบรรเทาลงได้ก่อนที่แฮ็กเกอร์จะจับตามอง มีสองวิธี:

  • ด้วยตนเอง – เรียกใช้การสแกนความปลอดภัยเป็นระยะ
  • อัตโนมัติ – ใช้ประโยชน์จากเครื่องสแกนบนคลาวด์เพื่อสแกนเป็นประจำ และคุณจะได้รับการแจ้งเตือนทุกครั้งที่พบช่องโหว่

อย่างที่คุณเดาได้ วิธีอัตโนมัติฟังดูดีกว่า

ทำไมต้องรักษาความปลอดภัยฟอรั่ม?

อาจมีคนโต้แย้ง ธุรกิจของฉันไม่ใช่กระดานสนทนา เป็นเพียงเพื่อให้ผู้คนพูดคุยกัน ตั้งประเด็น ฯลฯ

แต่ลองคิดดู ธุรกิจออนไลน์ของคุณมีฟอรัมและมีผู้ใช้มากกว่า 1 ล้านคน คุณไม่สนใจเรื่องความปลอดภัย และวันหนึ่งมีคนแฮ็คฟอรั่มและทำให้รายละเอียดผู้ใช้ทั้งหมดรั่วไหล

น่าอับอาย เสียชื่อเสียง สูญเสียความไว้วางใจของผู้บริโภค ฯลฯ

มาสำรวจเครื่องมือกัน

VBScan

โครงการโดย OWASP

VBScan ใช้ Perl และสามารถวิเคราะห์ vBulletin เพื่อหาช่องโหว่ ประกอบด้วยโมดูลมากกว่า 70 โมดูลเพื่อตรวจหาข้อบกพร่อง

การติดตั้งนั้นตรงไปตรงมา และคุณสามารถใช้กับระบบปฏิบัติการใดก็ได้

  • ดาวน์โหลดเวอร์ชันล่าสุดจาก GitHub
  • Unzip (หากคุณดาวน์โหลดซอร์สเป็นไฟล์ zip)
  • ไปที่โฟลเดอร์ที่สร้างขึ้นใหม่ในระหว่างการแตกไฟล์ zip
  • เปลี่ยนการอนุญาตของ vbscan.pl ให้ปฏิบัติการได้
chmod 755 vbscan.pl

และคุณก็พร้อมที่จะไป!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

การอัปเดต vbscan เป็นเรื่องง่าย

./vbscan.pl --upgrade

CMSSสแกน

อำนาจ VBScan ที่กล่าวถึงข้างต้น CMSSสแกน. ข้อดีอย่างหนึ่งที่มีให้คือตัวจัดกำหนดการ นี่เป็นสิ่งที่ดีหากคุณกำลังมองหาโซลูชันโอเพนซอร์ซเพื่อเรียกใช้เป็นระยะและส่งรายงานทางอีเมล

  วิธีแชร์หน้าจอของคุณใน Google Meet

ไม่ใช่แค่ VBulletin แต่ CMSScan ยังให้คุณทดสอบ WordPress, Joomla, Drupal ได้อีกด้วย

ตามค่าเริ่มต้น เว็บอินเตอร์เฟสจะรับฟังบนพอร์ต 7070 และเมื่อคุณเข้าถึงสิ่งนั้นในเบราว์เซอร์ คุณจะเห็นหน้าที่สวยงามซึ่งคุณป้อน URL ที่จะสแกน

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

เครื่องสแกน TLS

admintrick.com TLS Scanner ไม่ได้เจาะจงสำหรับ vBulletin แต่สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าการใช้งานใบรับรอง TLS นั้นถูกต้อง คุณสามารถเรียกใช้การทดสอบกับ vBulletin ของคุณเพื่อค้นหาโปรโตคอล TLS การเข้ารหัส ช่องโหว่ทั่วไปของเว็บ และรายละเอียดใบรับรอง

มีเครื่องสแกน SSL/TLS เพิ่มเติมอยู่ที่นี่

Invincti

สแกนเนอร์ที่พร้อมใช้งานสำหรับองค์กรสามารถใช้ได้ทั้งแบบโฮสต์เองหรือแบบคลาวด์

Invicti สามารถรวมเข้ากับการพัฒนาเพื่อให้การรักษาความปลอดภัยอย่างต่อเนื่องแก่เว็บไซต์ขนาดเล็กหรือขนาดใหญ่

  7 สุดยอดแพลตฟอร์มโอเพ่นซอร์สคลาวด์สำหรับองค์กร

ด้วยเทคโนโลยีการสแกนตามหลักฐานที่เป็นกรรมสิทธิ์ของพวกเขา คุณสามารถสแกน vBulletin หรือเว็บแอปพลิเคชันทั้งหมดได้อย่างรวดเร็วเพื่อให้ได้ผลลัพธ์ที่สามารถดำเนินการได้ ครอบคลุมช่องโหว่ของเว็บจำนวนมาก รวมถึง OWASP top 10

บทสรุป

การรักษาทรัพย์สินออนไลน์ให้ปลอดภัยเป็นสิ่งที่ท้าทาย และต้องสแกนหา vBulletin หรือเว็บแอปพลิเคชันใดๆ เป็นระยะ ดังนั้นคุณจึงสามารถบรรเทาได้ทันทีที่พบช่องโหว่ เครื่องมือข้างต้นช่วยให้คุณพบข้อบกพร่องด้านความปลอดภัย และหากคุณกำลังมองหาการป้องกันความปลอดภัยอย่างต่อเนื่อง คุณอาจเลือก SUCURI Cloud WAF

สนุกกับการอ่านบทความ? แบ่งปันให้โลกรู้ได้อย่างไร?

เรื่องล่าสุด

x