4 种扫描 vBulletin 安全漏洞的工具

作者
Tweet
Share
Share
Pin
0 Shares

探查 vBulletin 社区软件中的潜在风险

vBulletin 是一款备受欢迎的社区论坛软件,为互联网上超过十万个站点提供动力。如同所有软件一样,如果缺乏适当的加固和安全防护,vBulletin 极易遭受攻击。

最佳实践建议您应定期对面向互联网的社区进行安全弱点扫描,以便在黑客发现之前及时采取缓解措施。 您可以通过两种主要方式实现:

  • 手动方式:定期进行全面的安全扫描。
  • 自动化方式:借助基于云的扫描工具进行定期扫描,一旦检测到漏洞,系统会立即通知您。

显然,自动化方式更加高效便捷。

为何论坛安全如此重要?

有人可能会认为,我的业务不是以论坛为主。论坛只是一个供用户交流、提问的平台而已。

但请设想一下,您的在线业务拥有一个用户超过百万的论坛,如果忽视安全,一旦论坛被入侵,所有用户的个人信息都会泄露。

这不仅会导致声誉受损、用户信任度下降,还会造成其他难以估量的负面影响。

接下来,我们深入了解几款实用的安全工具。

VBScan

VBScan 是 OWASP 组织开发的项目。

VBScan 基于 Perl 语言编写,专门用于分析 vBulletin 的漏洞。它包含 70 多个模块,能够检测各种安全缺陷。

安装过程非常简单,可以在任何操作系统上使用。

  • GitHub 下载最新版本。
  • 解压缩下载的压缩包(如果下载的是 ZIP 文件)。
  • 进入解压后生成的新文件夹。
  • 将 vbscan.pl 文件的权限更改为可执行。
chmod 755 vbscan.pl

一切准备就绪,您可以开始使用了!

  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

更新 vbscan 也很容易。

./vbscan.pl --upgrade

CMSScan

CMSScan 基于上述 VBScan 的技术。它提供的优势之一是任务调度功能。如果您正在寻找一个可以定期运行并发送报告的开源解决方案,CMSScan 非常实用。

CMSScan 不仅可以测试 VBulletin,还可以测试 WordPress、Joomla、Drupal 等其他 CMS 系统。

默认情况下,Web 界面监听 7070 端口。当您在浏览器中访问该端口时,会看到一个简洁的页面,可以在其中输入需要扫描的 URL。

[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS 扫描仪

techblik.com 的 TLS 扫描仪虽然并非专门针对 vBulletin,但确保 TLS 证书实施正确至关重要。您可以针对您的 vBulletin 站点运行测试,以识别所支持的 TLS 协议、密码、常见的 Web 漏洞以及证书的详细信息。

这里列出了更多 SSL/TLS 扫描工具。

Invicti

Invicti 是一款企业级的扫描工具,可以自托管或基于云部署。

Invicti 可以与开发流程集成,为小型或大型网站提供持续的安全保障。

凭借其独特的基于证据的扫描技术,您可以快速扫描 vBulletin 或整个 Web 应用程序,获得可操作的结果。Invicti 涵盖了大量的 Web 漏洞,包括 OWASP Top 10 中列出的漏洞。

结论

维护在线资产的安全是一项挑战,必须定期扫描 vBulletin 或任何 Web 应用程序,以便在发现漏洞后立即采取缓解措施。上述工具可以帮助您查找安全漏洞。如果您正在寻找持续的安全保护,那么您可以考虑使用 SUCURI Cloud WAF 等解决方案。

喜欢这篇文章吗?欢迎分享给更多人了解!