vBulletin에서 보안 취약점을 검사하는 4가지 도구

by

vBulletin 커뮤니티 소프트웨어에서 취약점을 찾으십시오.

vBulletin은 인터넷에서 100,000개 이상의 사이트를 지원하는 인기 있는 커뮤니티 포럼 소프트웨어 중 하나입니다. 모든 소프트웨어와 마찬가지로 vBulletin도 제대로 강화 및 보호되지 않으면 취약할 수 있습니다.

가장 좋은 방법은 인터넷에 연결된 커뮤니티를 자주 검색하여 해커가 보기 전에 취약점을 완화할 수 있도록 해야 합니다. 두 가지 방법이 있습니다.

  • 수동 – 주기적으로 보안 검사를 실행합니다.
  • 자동 – 클라우드 기반 스캐너를 활용하여 정기적으로 스캔하고 취약점이 발견될 때마다 알림을 받습니다.

짐작할 수 있듯이 자동 방식이 더 좋게 들립니다.

포럼을 확보하는 이유는 무엇입니까?

누군가는 내 비즈니스가 포럼이 아니라고 주장할 수도 있습니다. 사람들이 서로 이야기하고 문제를 제기하는 등의 일입니다.

그러나 이것에 대해 생각해 보십시오. 귀하의 온라인 비즈니스에는 포럼이 있으며 백만 명이 넘는 사용자가 있습니다. 당신은 보안에 신경쓰지 않는데 어느 날 누군가가 포럼을 해킹하여 모든 사용자 세부 정보를 유출했습니다.

얼마나 부끄러운지, 명예훼손, 소비자신뢰 상실 등

도구를 살펴보겠습니다.

VB스캔

OWASP의 프로젝트.

VB스캔 Perl을 기반으로 하며 vBulletin의 취약점을 분석할 수 있습니다. 결함을 감지하는 70개 이상의 모듈이 포함되어 있습니다.

설치가 간단하며 모든 OS에서 사용할 수 있습니다.

  • 에서 최신 버전을 다운로드하십시오. 깃허브
  • 압축 풀기(소스를 zip 파일로 다운로드한 경우)
  • zip 추출 중 새로 생성된 폴더로 이동
  • vbscan.pl의 권한을 실행 가능하도록 변경
chmod 755 vbscan.pl

그리고 당신은 갈 수 있습니다!

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl <target>
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

vbscan 업데이트는 쉽습니다.

./vbscan.pl --upgrade

CMS스캔

위에서 언급한 VBScan의 능력 CMS스캔. 그것이 제공하는 한 가지 장점은 스케줄러입니다. 정기적으로 실행하고 이메일을 통해 보고서를 보낼 오픈 소스 솔루션을 찾고 있는 경우에 유용합니다.

  모든 Siri 바로 가기 제안을 찾고 사용하는 방법

VBulletin뿐만 아니라 CMSScan을 사용하여 WordPress, Joomla, Drupal도 테스트할 수 있습니다.

기본적으로 웹 인터페이스는 포트 7070에서 수신 대기하며 브라우저에서 액세스하면 스캔할 URL을 입력하는 아름다운 페이지가 표시됩니다.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

TLS 스캐너

koreantech.org TLS 스캐너는 vBulletin과 관련이 없지만 TLS 인증서 구현이 올바른지 확인하는 것이 중요합니다. vBulletin에 대해 테스트를 실행하여 지원되는 TLS 프로토콜, 암호, 일반적인 웹 취약성 및 인증서 세부 정보를 찾을 수 있습니다.

여기에 더 많은 SSL/TLS 스캐너가 나열됩니다.

인빈티

기업용 스캐너는 자체 호스팅 또는 클라우드 기반으로 제공됩니다.

인빅티 소규모 또는 대규모 웹사이트에 지속적인 보안을 제공하기 위해 개발과 통합될 수 있습니다.

독점적인 증거 기반 스캔 기술을 사용하여 vBulletin 또는 전체 웹 애플리케이션을 빠르게 스캔하여 실행 가능한 결과를 얻을 수 있습니다. OWASP 상위 10위를 포함하여 수많은 웹 취약점을 다룹니다.

결론

온라인 자산을 안전하게 유지하는 것은 어려운 일이며 vBulletin 또는 모든 웹 애플리케이션에 대한 주기적 스캔은 반드시 필요하므로 취약점이 발견되는 즉시 완화할 수 있습니다. 위의 도구는 보안 결함을 찾는 데 도움이 되며 지속적인 보안 보호를 찾고 있다면 SUCURI Cloud WAF를 선택할 수 있습니다.

기사를 재미있게 읽었습니까? 세상과 함께 나누는 건 어떨까요?