Encontre vulnerabilidades no software da comunidade vBulletin.
O vBulletin é um dos populares softwares de comunidade e fórum que alimentam mais de 100.000 sites na Internet. Como todo software, o vBulletin pode ser vulnerável se não for protegido e protegido corretamente.
Como prática recomendada, você deve examinar com frequência sua comunidade voltada para a Internet para encontrar pontos fracos para que possa mitigar antes que os hackers o vejam. Existem duas maneiras:
- Manual – execute a verificação de segurança periodicamente.
- Automático – aproveite o scanner baseado em nuvem para verificar regularmente e você será notificado sempre que uma vulnerabilidade for encontrada.
Como você pode imaginar, a maneira automática soa melhor.
Por que garantir um fórum?
Pode-se argumentar, meu negócio não é o fórum. É apenas para as pessoas conversarem, levantarem questões, etc.
Mas pense nisso – seu negócio online tem um fórum e há mais de 1 milhão de usuários. Você não se importa com segurança e um dia alguém hackeou o fórum e vazou todos os detalhes do usuário.
Quão embaraçoso, perda de reputação, perda de confiança do consumidor, etc.
Vamos explorar as ferramentas.
VBScan
Um projeto da OWASP.
VBScan é baseado em Perl e capaz de analisar vBulletin em busca de vulnerabilidades. Inclui mais de 70 módulos para detectar as falhas.
A instalação é simples e você pode usá-lo em qualquer sistema operacional.
- Baixe a versão mais recente em GitHub
- Descompacte (se você baixou a fonte como um arquivo zip)
- Vá para a pasta recém-criada durante a extração do zip
- Alterar a permissão de
vbscan.plser executável
chmod 755 vbscan.plE você está pronto para ir!
root@tecnologico:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=(OWASP VBScan
+---++---==(Version : 0.1.8
+---++---==(Update Date : (2018/09/13)
+---++---==(Author : Mohammad Reza Espargham
+---++---==(Website : www.reza.es
--=(Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
root@tecnologico:~/vbscan-0.1.8#Atualizar o vbscan é fácil.
./vbscan.pl --upgradeCMSScan
Poderes VBScan acima mencionados CMSScan . Uma vantagem que oferece é o agendador. Isso é ótimo se você estiver procurando por uma solução de código aberto para executar periodicamente e enviar os relatórios por e-mail.
Não apenas o VBulletin, mas o CMSScan também permite que você teste WordPress Joomla, Drupal.
Por padrão, a interface da web escuta na porta 7070 e quando você acessa isso no navegador, você verá a bela página onde você insere o URL a ser verificado.
root@tecnologico:~/CMSScan# ./run.sh
(2019-09-27 19:09:14 +0000) (25590) (INFO) Starting gunicorn 19.9.0
(2019-09-27 19:09:14 +0000) (25590) (INFO) Listening at: http://0.0.0.0:7070 (25590)
(2019-09-27 19:09:14 +0000) (25590) (INFO) Using worker: sync
(2019-09-27 19:09:14 +0000) (25593) (INFO) Booting worker with pid: 25593
(2019-09-27 19:09:14 +0000) (25594) (INFO) Booting worker with pid: 25594
(2019-09-27 19:09:14 +0000) (25595) (INFO) Booting worker with pid: 25595Leitor TLS
Scanner Tecnologico TLS não é específico do vBulletin, mas é essencial garantir que a implementação do certificado TLS esteja correta. Você pode executar o teste em seu vBulletin para descobrir o protocolo TLS suportado, cifras, vulnerabilidades comuns da Web e detalhes do certificado.
Há mais Scanner SSL/TLS listado aqui .
Invincti
Um scanner pronto para empresas está disponível como auto-hospedado ou baseado em nuvem.
Invicti pode ser integrado ao desenvolvimento para fornecer segurança contínua a sites pequenos ou grandes.
Com sua tecnologia proprietária de verificação baseada em provas, você pode verificar o vBulletin ou aplicativos da Web inteiros rapidamente para obter resultados acionáveis. Abrange um grande número de vulnerabilidades da Web, incluindo as 10 principais do OWASP.
Conclusão
Manter os ativos on-line seguros é um desafio, e a verificação periódica do vBulletin ou de qualquer aplicativo da Web é OBRIGATÓRIA para que você possa mitigar assim que as vulnerabilidades forem encontradas. As ferramentas acima ajudam você a encontrar as falhas de segurança e, se estiver procurando por proteção de segurança contínua, pode escolher SUCURI Nuvem WAF .
