vBulletin 커뮤니티 소프트웨어의 취약점 점검하기
vBulletin은 인터넷상에서 10만 개 이상의 웹사이트를 운영하는 널리 사용되는 커뮤니티 포럼 소프트웨어입니다. 모든 소프트웨어와 마찬가지로 vBulletin 역시 적절한 강화 및 보안 조치가 없다면 취약점에 노출될 수 있습니다.
가장 이상적인 방법은 해커가 발견하기 전에 취약점을 완화할 수 있도록 인터넷에 연결된 커뮤니티를 정기적으로 검사하는 것입니다. 이를 위한 두 가지 접근 방식이 있습니다.
- 수동 방식: 보안 검사를 주기적으로 직접 실행합니다.
- 자동 방식: 클라우드 기반 스캐너를 활용하여 정기적으로 스캔하고 취약점이 발견되면 즉시 알림을 받습니다.
예상하시다시피 자동 방식이 더 효과적입니다.
포럼을 안전하게 유지해야 하는 이유는 무엇일까요?
어떤 사람들은 자신의 비즈니스는 포럼이 아니라고 말할 수 있습니다. 하지만 포럼은 사람들이 서로 소통하고 문제를 제기하는 등의 장소입니다.
다음 상황을 고려해 보세요. 온라인 비즈니스에 사용자 수가 100만 명이 넘는 포럼이 있습니다. 보안에 소홀했는데 어느 날 누군가가 포럼을 해킹하여 모든 사용자 정보를 유출합니다.
이는 매우 수치스럽고, 평판에 큰 타격을 입히며, 소비자 신뢰를 잃게 되는 결과를 초래할 것입니다.
이제 몇 가지 유용한 도구를 살펴보겠습니다.
VB스캔
OWASP 프로젝트의 일환입니다.
VB스캔은 Perl 기반으로 개발되었으며 vBulletin의 취약점을 분석하는 데 특화되어 있습니다. 이 도구는 70개 이상의 모듈을 포함하고 있어 다양한 결함을 감지할 수 있습니다.
설치가 간편하며 모든 운영체제에서 사용이 가능합니다.
- 깃허브에서 최신 버전을 다운로드하십시오.
- 압축을 해제합니다(소스 코드를 zip 파일로 다운로드한 경우).
- 압축 해제 후 생성된 폴더로 이동합니다.
- vbscan.pl 파일에 실행 권한을 부여합니다.
chmod 755 vbscan.pl
이제 바로 사용할 수 있습니다!
[email protected]:~/vbscan-0.1.8# ./vbscan.pl _ _ ____ ___ ___ __ _ _ ( / )( _ / __) / __) /__ ( ( ) / ) _ <__ ( (__ /(__) ) ( / (____/(___/ ___)(__)(__)(_)_) (1337.today) --=[OWASP VBScan +---++---==[Version : 0.1.8 +---++---==[Update Date : [2018/09/13] +---++---==[Author : Mohammad Reza Espargham +---++---==[Website : www.reza.es --=[Code name : Self Challenge @OWASP_VBScan , @rezesp , @OWASP Usage: ./vbscan.pl <target> ./vbscan.pl http://target.com/vbulletin Options: ./vbscan.pl --help [email protected]:~/vbscan-0.1.8#
VB스캔을 업데이트하는 방법도 간단합니다.
./vbscan.pl --upgrade
CMS스캔
CMS스캔은 앞에서 언급한 VB스캔의 기능을 확장한 도구입니다. CMS스캔의 주요 장점 중 하나는 스케줄러 기능입니다. 이 기능은 정기적으로 스캔을 실행하고 이메일로 보고서를 받고자 하는 경우에 유용합니다.
CMS스캔은 vBulletin뿐만 아니라 WordPress, Joomla, Drupal 등 다양한 CMS 플랫폼을 테스트하는 데에도 사용할 수 있습니다.
기본적으로 웹 인터페이스는 7070 포트에서 수신 대기하며, 웹 브라우저를 통해 접속하면 스캔할 URL을 입력할 수 있는 인터페이스가 나타납니다.
[email protected]:~/CMSScan# ./run.sh [2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0 [2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590) [2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync [2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593 [2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594 [2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595
TLS 스캐너
koreantech.org TLS 스캐너는 vBulletin과 직접적인 관련은 없지만, TLS 인증서가 올바르게 구현되었는지 확인하는 것은 매우 중요합니다. vBulletin에 대해 테스트를 실행하여 지원되는 TLS 프로토콜, 암호, 일반적인 웹 취약점 및 인증서 정보를 확인할 수 있습니다.
추가적으로 유용한 SSL/TLS 스캐너 목록은 여기에서 확인하실 수 있습니다.
인빅티
인빅티는 기업용으로 개발된 스캐너이며, 자체 호스팅 또는 클라우드 기반으로 제공됩니다.
인빅티는 소규모에서 대규모 웹사이트까지 지속적인 보안을 제공하기 위해 개발 프로세스에 통합할 수 있습니다.
인빅티는 독자적인 증거 기반 스캔 기술을 사용하여 vBulletin 또는 전체 웹 애플리케이션을 빠르게 스캔하고 실질적인 결과를 제공합니다. OWASP 상위 10가지 취약점을 포함하여 다양한 웹 취약점을 검사할 수 있습니다.
결론
온라인 자산을 안전하게 유지하는 것은 결코 쉬운 일이 아니며, vBulletin을 비롯한 모든 웹 애플리케이션에 대한 주기적인 스캔은 취약점을 조기에 발견하고 해결하는 데 필수적입니다. 위에 소개된 도구들은 보안 결함을 찾는 데 도움이 될 것이며, 지속적인 보안을 원한다면 SUCURI Cloud WAF를 고려해 볼 수 있습니다.
이 기사가 유익했기를 바랍니다. 혹시 도움이 되었다면 다른 사람들과도 공유해 주시겠어요?