4 ferramentas para verificar vulnerabilidades de segurança do vBulletin

Por
Twittar
Compartilhar
Compartilhar
Pin

Encontre vulnerabilidades no software da comunidade vBulletin.

vBulletin é uma comunidade popular, software de fórum que alimenta mais de 100.000 sites na Internet. Como todo software, o vBulletin pode ser vulnerável se não for protegido e protegido corretamente.

Como prática recomendada, você deve verificar frequentemente sua comunidade voltada para a Internet para encontrar pontos fracos, para que possa mitigar antes dos olhos dos hackers. Existem duas maneiras:

  • Manual – execute a verificação de segurança periodicamente.
  • Automático – aproveite o scanner baseado em nuvem para verificar regularmente e você será notificado sempre que uma vulnerabilidade for encontrada.

Como você pode imaginar, a maneira automática soa melhor.

Por que proteger um fórum?

Pode-se argumentar, meu negócio não é o fórum. É apenas para as pessoas conversarem umas com as outras, levantar questões, etc.

Mas pense nisso – seu negócio online tem um fórum e há mais de 1 milhão de usuários. Você não se importa com segurança, e um dia alguém invadiu o fórum e vazou todos os detalhes do usuário.

  Como iniciar uma videoconferência do Google Meet

Que vergonha, perda de reputação, perda de confiança do consumidor, etc.

Vamos explorar as ferramentas.

últimas postagens

VBScan

Um projeto da OWASP.

VBScan é baseado em Perl e capaz de analisar vBulletin para vulnerabilidades. Inclui mais de 70 módulos para detectar as falhas.

A instalação é simples e você pode usá-lo em qualquer sistema operacional.

  • Baixe a versão mais recente de GitHubGenericName
  • Descompacte (se você baixou a fonte como um arquivo zip)
  • Vá para a pasta recém-criada durante a extração do zip
  • Altere a permissão do vbscan.pl para ser executável
chmod 755 vbscan.pl

E você está pronto para ir!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

Atualizar o vbscan é fácil.

./vbscan.pl --upgrade

CMSScan

Poderes VBScan mencionados acima CMSScan. Uma vantagem que ele oferece é o agendador. Isso é ótimo se você estiver procurando por uma solução de código aberto para executar periodicamente e enviar os relatórios por e-mail.

  10 melhores ferramentas para monitorar redes locais

Não apenas o VBulletin, mas o CMSScan também permite testar WordPress, Joomla, Drupal.

Por padrão, a interface web escuta na porta 7070 e ao acessar isso no navegador, você verá a bela página onde digita a URL a ser verificada.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

Leitor TLS

etechpt.com TLS Scanner não é específico do vBulletin, mas é essencial garantir que a implementação do certificado TLS esteja correta. Você pode executar o teste em seu vBulletin para descobrir o protocolo TLS compatível, as cifras, as vulnerabilidades comuns da Web e os detalhes do certificado.

  Como atualizar para o Elementary OS Juno

Há mais scanners SSL/TLS listados aqui.

Invincti

Um scanner pronto para empresas está disponível como auto-hospedado ou baseado em nuvem.

Invicti pode ser integrado ao desenvolvimento para fornecer segurança contínua a sites pequenos ou grandes.

Com sua tecnologia proprietária de digitalização baseada em provas, você pode digitalizar vBulletin ou aplicativos da Web inteiros rapidamente para obter resultados acionáveis. Ele cobre um grande número de vulnerabilidades da web, incluindo o OWASP top 10.

Conclusão

Manter os ativos online seguros é um desafio, e a verificação periódica do vBulletin ou de qualquer aplicativo da web é OBRIGATÓRIA para que você possa mitigar assim que as vulnerabilidades forem encontradas. As ferramentas acima ajudam você a encontrar as falhas de segurança e, se você estiver procurando por proteção de segurança contínua, pode escolher o SUCURI Cloud WAF.

Gostou de ler o artigo? Que tal compartilhar com o mundo?