etechpt.com

Segurança vBulletin: 4 Ferramentas para Detectar Vulnerabilidades

Foto do autor

By luis

Descobrindo Pontos Fracos no seu Software vBulletin

O vBulletin é um software de fórum muito popular, que sustenta mais de 100 mil sites na internet. Como qualquer outro software, o vBulletin pode apresentar vulnerabilidades se não for devidamente protegido e mantido em segurança.

Uma prática recomendada é verificar periodicamente a sua comunidade online para identificar possíveis falhas, o que permite a mitigação antes que estas sejam exploradas por atacantes. Existem duas abordagens principais:

  • Verificação manual – realizar auditorias de segurança de forma regular.
  • Verificação automática – usar scanners baseados na nuvem para monitorar o seu sistema, sendo notificado sempre que uma vulnerabilidade for detectada.

Como pode imaginar, a abordagem automática oferece mais vantagens.

Mas por que é tão importante proteger um fórum?

Alguém pode argumentar que um fórum é apenas um local para as pessoas interagirem, levantar questões, etc. e que não é o foco principal do negócio.

No entanto, imagine que o seu negócio online tem um fórum com mais de um milhão de usuários. Se a segurança não for uma prioridade e o fórum for comprometido, levando ao vazamento dos dados dos usuários, as consequências podem ser graves.

Resultando em prejuízo da reputação, perda da confiança do consumidor, entre outros problemas.

Vamos explorar algumas ferramentas que podem ajudar.

VBScan

Um projeto da OWASP.

VBScan é uma ferramenta baseada em Perl, criada para analisar o vBulletin em busca de vulnerabilidades. Inclui mais de 70 módulos para a deteção de falhas de segurança.

A instalação é simples e pode ser utilizada em qualquer sistema operacional.

  • Faça o download da versão mais recente do GitHub.
  • Descompacte o arquivo (se tiver sido descarregado como um arquivo zip).
  • Aceda à pasta criada durante a descompactação.
  • Altere as permissões do ficheiro vbscan.pl para permitir a execução.
chmod 755 vbscan.pl

E já está pronto para usar!

    [email protected]:~/vbscan-0.1.8# ./vbscan.pl
     _  _  ____  ___   ___    __    _  _
    ( / )(  _ / __) / __)  /__  ( ( )
       /  ) _ <__ ( (__  /(__)  )  (
      /  (____/(___/ ___)(__)(__)(_)_)
		   (1337.today)
   
        --=[OWASP VBScan
        +---++---==[Version : 0.1.8
        +---++---==[Update Date : [2018/09/13]
        +---++---==[Author : Mohammad Reza Espargham
        +---++---==[Website : www.reza.es
        --=[Code name : Self Challenge
        @OWASP_VBScan , @rezesp , @OWASP


       Usage: 
    	 ./vbscan.pl <target>
    	./vbscan.pl http://target.com/vbulletin


       Options: 
    	./vbscan.pl --help

    [email protected]:~/vbscan-0.1.8#

A atualização do vbscan também é muito simples:

./vbscan.pl --upgrade

CMSScan

O CMSScan utiliza as capacidades do VBScan mencionado acima. Uma vantagem adicional é o agendador de tarefas. Esta função é útil se estiver à procura de uma solução de código aberto para executar scans periodicamente e enviar os resultados por email.

O CMSScan não se limita ao vBulletin, também permite testar plataformas como WordPress, Joomla e Drupal.

Por defeito, a interface web funciona na porta 7070. Ao aceder a esta porta no navegador, verá a página onde pode inserir o URL a ser verificado.

    [email protected]:~/CMSScan# ./run.sh 
    [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
    [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
    [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
    [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
    [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
    [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

Scanner TLS

O TLS Scanner da etechpt.com não é específico do vBulletin, mas é essencial para verificar se a implementação do certificado TLS está correta. Este teste pode ser executado no seu vBulletin para verificar os protocolos TLS suportados, os algoritmos de encriptação, vulnerabilidades comuns e detalhes do certificado.

Pode encontrar outros scanners SSL/TLS listados aqui.

Invincti

O Invincti é um scanner de segurança para empresas, disponível tanto em versão auto-hospedada como na nuvem.

Invicti pode ser integrado no ciclo de desenvolvimento para garantir segurança contínua para sites de qualquer dimensão.

Através da sua tecnologia proprietária de análise baseada em provas, pode analisar rapidamente o vBulletin e outros aplicativos web, com resultados acionáveis. Abrange um grande número de vulnerabilidades web, incluindo as do OWASP top 10.

Conclusão

Manter os ativos online seguros é um desafio constante, e a verificação periódica do vBulletin ou de qualquer aplicação web é essencial para que as vulnerabilidades possam ser corrigidas logo que sejam detetadas. As ferramentas acima podem ajudar a encontrar falhas de segurança. Para uma proteção contínua, poderá considerar a utilização do SUCURI Cloud WAF.

Gostou do artigo? Partilhe com outras pessoas!

21 Melhores Geradores de Assinatura de Email para o Seu Negócio em 2024

12 Melhores APIs de Geocodificação e Mapas para Seus Apps