4个工具扫描vBulletin的安全漏洞

本文概述

VB扫描
CMS扫描
TLS扫描器
Netsparker

在vBulletin社区软件中查找漏洞。
vBulletin是受欢迎的社区之一, 其论坛软件为Internet上的100, 000多个站点提供支持。像所有软件一样, vBulletin如果未正确加固和保护, 可能会很容易受到攻击。
最佳做法是, 你应该经常扫描面向Internet的社区, 以发现弱点, 以便在黑客关注之前就可以加以缓解。有两种方法：

手动–定期运行安全扫描。
自动–利用基于云的扫描仪进行定期扫描, 一旦发现漏洞, 你就会收到通知。

如你所料, 自动方式听起来更好。
为什么要建立论坛？
有人可能会说, 我的生意不是论坛。仅用于人们互相交谈, 提出问题等。
但是请考虑一下–你的在线业务有一个论坛, 并且有超过100万用户。你不必担心安全性, 有一天, 有人入侵了论坛并泄露了所有用户详细信息。
多么尴尬, 声誉损失, 消费者信任损失等。
让我们探索一下这些工具。
vBulletin安全扫描程序

VB扫描
CMS扫描
TLS扫描器
Netsparker

VB扫描 OWASP的一个项目。
VBScan基于Perl, 能够分析vBulletin的漏洞。它包括70多个检测缺陷的模块。
安装非常简单, 你可以在任何操作系统上使用它。

从GitHub下载最新版本
解压缩(如果你将源文件下载为zip文件)
zip提取过程中转到新创建的文件夹
将vbscan.pl的权限更改为可执行

chmod 755 vbscan.pl

而且你很好走！

[email protected]:~/vbscan-0.1.8# ./vbscan.pl________________ ( \/ )(_ \/ __) / __)/__\( \( )\/) _ < \__ \( (__/(__)\)(\/(____/(___/ \___)(__)(__)(_)\_)(1337.today)--=[OWASP VBScan+---++---==[Version : 0.1.8+---++---==[Update Date : [2018/09/13]+---++---==[Author : Mohammad Reza Espargham+---++---==[Website : www.reza.es--=[Code name : Self Challenge@OWASP_VBScan , @rezesp , @OWASPUsage: ./vbscan.pl < target> ./vbscan.pl http://target.com/vbulletinOptions: ./vbscan.pl --help[email protected]:~/vbscan-0.1.8#

更新vbscan很容易。

./vbscan.pl --upgrade

CMS扫描上面提到的VBScan为CMSScan供电。它提供的一项优势是调度程序。如果你正在寻找一种可以定期运行并通过电子邮件发送报告的开源解决方案, 那就太好了。
不仅是VBulletin, 而且CMSScan还可以让你测试WordPress, Joomla和Drupal。
默认情况下, Web界面监听端口7070, 当你在浏览器中访问该界面时, 你会看到漂亮的页面, 在该页面中输入要扫描的URL。

[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

文章图片
TLS扫描器 Geekflare TLS扫描程序并非特定于vBulletin, 但必须确保TLS证书实施正确。你可以对vBulletin进行测试, 以查找受支持的TLS协议, 密码, 常见的Web漏洞和证书详细信息。

文章图片
此处列出了更多SSL / TLS扫描器。
Netsparker 可用于企业的扫描仪既可以自托管也可以基于云。
Netsparker可以与开发集成, 以为小型或大型网站提供持续的安全性。

文章图片
凭借其专有的基于证明的扫描技术, 你可以快速扫描vBulletin或整个Web应用程序以获得可行的结果。它涵盖了许多Web漏洞, 包括OWASP前10名。
总结
【4个工具扫描vBulletin的安全漏洞】确保在线资产的安全具有挑战性, 必须定期对vBulletin或任何Web应用程序进行扫描, 以便你在发现漏洞后立即进行缓解。以上工具可帮助你发现安全漏洞, 如果你要寻求持续的安全保护, 则可以选择SUCURI Cloud WAF。