Encuentre vulnerabilidades en el software de la comunidad vBulletin.
vBulletin es uno de los populares software de foros de la comunidad que alimenta a más de 100.000 sitios en Internet. Como todo software, vBulletin puede ser vulnerable si no se fortalece y asegura correctamente.
Como práctica recomendada, debe escanear con frecuencia su comunidad orientada a Internet para encontrar debilidades y poder mitigarlas antes de que los ojos de los piratas informáticos las detecten. Hay dos maneras:
- Manual: ejecute un análisis de seguridad periódicamente.
- Automático: aproveche el escáner basado en la nube para escanear regularmente y recibirá una notificación cada vez que se encuentre una vulnerabilidad.
Como puedes adivinar, la forma automática suena mejor.
¿Por qué asegurar un foro?
Se puede argumentar, mi negocio no es el foro. Es solo para que la gente hable entre sí, plantee problemas, etc.
Pero piense en esto: su negocio en línea tiene un foro y hay más de 1 millón de usuarios. No te importa la seguridad, y un día alguien hackeó el foro y filtró todos los detalles de los usuarios.
Qué vergüenza, pérdida de reputación, pérdida de confianza del consumidor, etc.
Exploremos las herramientas.
Tabla de contenido
VBScan
Un proyecto de OWASP.
VBScan está basado en Perl y es capaz de analizar vBulletin en busca de vulnerabilidades. Incluye más de 70 módulos para detectar las fallas.
La instalación es sencilla y puede usarla en cualquier sistema operativo.
- Descarga la última versión de GitHub
- Descomprimir (si descargó la fuente como un archivo zip)
- Vaya a la carpeta recién creada durante la extracción zip
- Cambie el permiso de vbscan.pl para que sea ejecutable
chmod 755 vbscan.pl
¡Y estás listo para irte!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl
_ _ ____ ___ ___ __ _ _
( / )( _ / __) / __) /__ ( ( )
/ ) _ <__ ( (__ /(__) ) (
/ (____/(___/ ___)(__)(__)(_)_)
(1337.today)
--=[OWASP VBScan
+---++---==[Version : 0.1.8
+---++---==[Update Date : [2018/09/13]
+---++---==[Author : Mohammad Reza Espargham
+---++---==[Website : www.reza.es
--=[Code name : Self Challenge
@OWASP_VBScan , @rezesp , @OWASP
Usage:
./vbscan.pl <target>
./vbscan.pl http://target.com/vbulletin
Options:
./vbscan.pl --help
[email protected]:~/vbscan-0.1.8#
Actualizar vbscan es fácil.
./vbscan.pl --upgrade
CMSScan
Poderes de VBScan mencionados anteriormente CMSScan. Una de las ventajas que ofrece es el programador. Esto es excelente si está buscando una solución de código abierto para ejecutar periódicamente y enviar los informes por correo electrónico.
No solo VBulletin sino que CMSScan también le permite probar WordPress, Joomla, Drupal.
De manera predeterminada, la interfaz web escucha en el puerto 7070 y cuando accede a eso en el navegador, verá la hermosa página donde ingresa la URL para escanear.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
Escáner TLS
kirukiru.es TLS Scanner no es específico de vBulletin, pero es esencial para garantizar que la implementación del certificado TLS sea correcta. Puede ejecutar la prueba en su vBulletin para averiguar el protocolo TLS compatible, los cifrados, las vulnerabilidades web comunes y los detalles del certificado.
Aquí se enumeran más escáneres SSL/TLS.
Invincti
Un escáner listo para la empresa está disponible como alojamiento propio o basado en la nube.
Invicti se puede integrar con el desarrollo para proporcionar seguridad continua a sitios web pequeños o grandes.
Con su tecnología patentada de escaneo basada en pruebas, puede escanear vBulletin o aplicaciones web completas rápidamente para obtener resultados procesables. Cubre una gran cantidad de vulnerabilidades web, incluido OWASP top 10.
Conclusión
Mantener seguros los activos en línea es un desafío, y el análisis periódico contra vBulletin o cualquier aplicación web es IMPRESCINDIBLE para que pueda mitigar tan pronto como se encuentren las vulnerabilidades. Las herramientas anteriores lo ayudan a encontrar fallas de seguridad, y si está buscando una protección de seguridad continua, entonces puede elegir SUCURI Cloud WAF.
¿Te gustó leer el artículo? ¿Qué tal compartir con el mundo?