4 أدوات لفحص vBulletin بحثًا عن ثغرات أمنية

البحث عن نقاط الضعف في برنامج مجتمع vBulletin.

vBulletin هو أحد المجتمعات الشعبية ، برامج المنتديات التي تشغل أكثر من 100000 موقع على الإنترنت. مثل كل البرامج ، قد يكون vBulletin عرضة للخطر إذا لم يتم تقويته وتأمينه بشكل صحيح.

كأفضل ممارسة ، يجب عليك فحص مجتمعك المواجه للإنترنت بشكل متكرر للعثور على نقاط الضعف حتى تتمكن من التخفيف قبل أعين المتسللين عليه. هناك طريقتان:

  • يدوي – قم بإجراء فحص أمني بشكل دوري.
  • تلقائي – استفد من الماسح الضوئي المستند إلى السحابة لإجراء المسح الضوئي بانتظام وسيتم إعلامك عند اكتشاف ثغرة أمنية.

كما يمكنك التخمين ، فإن الطريقة التلقائية تبدو أفضل.

لماذا تأمين منتدى؟

قد يجادل المرء ، عملي ليس المنتدى. يقتصر الأمر على الأشخاص للتحدث مع بعضهم البعض ، وإثارة القضايا ، وما إلى ذلك.

لكن فكر في هذا – عملك على الإنترنت له منتدى ، وهناك أكثر من مليون مستخدم. أنت لا تهتم بالأمان ، وذات يوم اخترق شخص ما المنتدى وسرب جميع تفاصيل المستخدم.

ما مدى الإحراج ، وفقدان السمعة ، وفقدان ثقة المستهلك ، وما إلى ذلك.

  كيفية الانتقال إلى صفحة في Word في Microsoft 365

دعنا نستكشف الأدوات.

VBScan

مشروع OWASP.

VBScan يعتمد على بيرل وقادر على تحليل ثغرات vBulletin. يتضمن أكثر من 70 وحدة لاكتشاف العيوب.

التثبيت بسيط ، ويمكنك استخدامه على أي نظام تشغيل.

  • قم بتنزيل أحدث إصدار من جيثب
  • قم بفك الضغط (إذا قمت بتنزيل المصدر كملف مضغوط)
  • انتقل إلى المجلد الذي تم إنشاؤه حديثًا أثناء استخراج ملف مضغوط
  • قم بتغيير إذن vbscan.pl ليكون قابلاً للتنفيذ
chmod 755 vbscan.pl

وأنت على ما يرام!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

تحديث vbscan سهل.

./vbscan.pl --upgrade

CMSScan

المذكورة أعلاه صلاحيات VBScan CMSScan. إحدى المزايا التي يقدمها هو برنامج الجدولة. يعد هذا أمرًا رائعًا إذا كنت تبحث عن حل مفتوح المصدر لتشغيله بشكل دوري وإرسال التقارير عبر البريد الإلكتروني.

  كيفية إصلاح تلف سماعة الهاتف بسبب المياه

ليس فقط VBulletin ولكن CMSScan يتيح لك أيضًا اختبار WordPress و Joomla و Drupal.

بشكل افتراضي ، تستمع واجهة الويب إلى المنفذ 7070 وعندما تصل إلى ذلك في المتصفح ، سترى الصفحة الجميلة التي تدخل فيها عنوان URL ليتم مسحه ضوئيًا.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

ماسح TLS

admingate.org TLS Scanner ليس خاصًا بـ vBulletin ، ولكن من الضروري التأكد من صحة تنفيذ شهادة TLS. يمكنك إجراء الاختبار مقابل المنتدى الخاص بك لمعرفة بروتوكول TLS المدعوم والأصفار ونقاط ضعف الويب الشائعة وتفاصيل الشهادة.

يوجد المزيد من الماسح الضوئي SSL / TLS مدرج هنا.

إنفينتي

يتوفر ماسح ضوئي جاهز للمؤسسات على أنه مستضاف ذاتيًا أو مستند إلى السحابة.

إنفيكتى يمكن أن تتكامل مع التطوير لتوفير الأمان المستمر للمواقع الصغيرة أو الكبيرة.

  كن ملكًا للنمور مع هذه الحيوانات والكائنات ثلاثية الأبعاد من Google

باستخدام تقنية المسح الضوئي القائمة على إثبات الملكية ، يمكنك فحص vBulletin أو تطبيقات الويب بالكامل بسرعة للحصول على نتائج قابلة للتنفيذ. يغطي عددًا كبيرًا من نقاط الضعف على الويب ، بما في ذلك OWASP أعلى 10.

استنتاج

يعد الحفاظ على أمان الأصول عبر الإنترنت أمرًا صعبًا ، ويجب إجراء فحص دوري ضد vBulletin أو أي تطبيقات ويب حتى تتمكن من التخفيف بمجرد اكتشاف ثغرات أمنية. تساعدك الأدوات المذكورة أعلاه في العثور على الثغرات الأمنية ، وإذا كنت تبحث عن حماية أمنية مستمرة ، فيمكنك اختيار SUCURI Cloud WAF.

استمتعت بقراءة المقال؟ ماذا عن المشاركة مع العالم؟