8 Drupali turvaskannerit haavatavuste leidmiseks

Kuidas leida turvaauke Drupal CMS-ist (sisuhaldussüsteem)?


Drupal on suuruselt kolmas avatud lähtekoodiga CMS, mida kasutatakse koos turuosa üle 4,5%. Nende toitel on ligi miljon saiti, mis on enam kui piisav ründaja ja häkkerite ligimeelitamiseks.

Kui kasutate oma veebisaidi jaoks Drupali ja pole kindel, kas see pole teadaolevate haavatavuste eest kaitstud, kas see ei paljasta tundlikku teavet, tal on valesti konfigureeritud jne, siis aitavad järgmised tööriistad.

Valmis uurima?

Teeme seda.

Droopescan

Droopescan on pythonil põhinev skanner, mis aitab turvalisuse uurijail leida Drupali installitud versioonis põhiriski. Selles pisikeses programmis on neli peamist kontrolli.

  1. Pluginad
  2. Teemad
  3. Versioonid
  4. Spetsiaalne URL (administraator, readme, changelog jne)

[e-posti aadress on kaitstud]: ~ / droopescan # droopescan scan drupal -u http://bloggerflare.com
[+] Teemasid ei leitud.
[+] Võimalikud huvitavad URL-id leitud:
Vaikimisi administraator – http://bloggerflare.com/user/login
[+] Võimalik versioon (id):
8.5.0
8.5.0-alfa1
8.5.0-beeta1
8,5,0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] Pistikprogramme ei leitud.
[+] Skaneerimine on lõpetatud (0: 03: 32.286747 on möödunud)

Võib-olla oleksite aru saanud; see ei ole veebiskanner, nii et testi käivitamiseks peate installima Pythoni ja kloonima koodi serverisse.

Saate testida üheaegselt mitme URL-iga ja tulemusi kuvatakse terminalis. Droopescan saab töötada ka WordPressi, Joomla, Moodle’i ja SilverStripe’iga. Kuid WordPressi puhul soovitaksin kontrollida seda skannerite loendit.

Pentest-tööriistad

Drupali haavatavuse skannimine Pentest-tööriistad on veebiskanner, kus saate oma saidi turvalisust kontrollida, et teada saada pistikprogrammide, konfiguratsiooni ja põhifailide turvaauke.

Skaneerimise tulemused on hästi lahti seletatud ja teil on võimalus hankida need PDF-vormingus. Selle tööriista käivitamiseks on vaja 50 krediiti.

Uppunud

Püütonil põhinev utiliit Drupali 6 ja 8 versioonide loendamise ja ekspluateerimise teostamiseks. Saad joosta Uppunud kahes režiimis.

Loend, et kontrollida järgmist.

  • Küpsised
  • Kasutaja agent
  • Metsaraie
  • Kasutaja
  • Sõlm
  • Moodul
  • Teema
  • Taotle viivitust

Ja turvaaukude kontrollimiseks kasutage režiimi.

Alustamiseks võite installida Pythoni või Dockeri pildi.

SUCURI

SUCURI saidi kontroll on üldine turvaskanner, et kiiresti teada saada, kas teie Drupali sait on nakatunud teadaoleva pahavaraga, millel on vananenud tarkvara, mustas nimekirjas ja populaarse veebisaidi tõrge. Pole midagi Drupali jaoks spetsiifilist, kuid tasub suvalist veebisaiti skannida.

SUCURI pakub ka Drupali pidev turvalisus saite kaitsta ja kiirendada.

DDoS on oma laiaulatuslik kaitse ründajate / häkkerite vastu nii väikeettevõtete kui ka ettevõtte tasemel.

Häkkerite sihtmärk

Tasuta veeb passiivne skaneerimine põhitesti järgmiseks.

  • Teema, pluginate ja iFrame tuvastamine
  • Kuva kliendipoolsed JavaScripti failid
  • Tuvastage Drupali versioon ja kontrollige, kas see on haavatav
  • Kontrollige, kas URL on Google’i mustas nimekirjas
  • Kontrollige, kas kataloogide indekseerimine on lubatud

See pole kõikehõlmav test, kuid alustuseks on hea.

Acunetix

Ettevõtte jaoks valmis pilvepõhine skanner CMS-i, sealhulgas Drupali haavatavuste tuvastamiseks. Acunetix tuvastab turvariski OWASP 10 parimat ja teadaolevaid veebipõhiseid haavatavusi enam kui 500 tüüpi rünnakutega.

Ja kui kasutate Drupalit suures organisatsioonis, kus peate esitama vastavusaruande, siis olete sellega kaetud. Nende armatuurlaual saate genereerida PCI DSS, HIPAA jne regulatiivseid vastavusaruandeid.

Nad pakuvad 14-päevast prooviversiooni, nii et minge edasi ja proovige. Saate valida nende võrguskanneri, nii et te ei pea oma serverisse midagi installima.

Sqreen

Sqreen skanner pole Drupali jaoks täpselt suunatud, kuid on rakendatav mis tahes kaasaegsete rakenduste või veebipoodide jaoks järgmiste levinumate haavatavuste rünnakute leidmiseks.

  • SQL-i süstimine
  • Saidideülene skriptimine
  • MIME nuusutab
  • Andmete rikkumine teatises
  • Klõpsamine
  • DDoS

Tuvastama

Katsetage üle 1000 haavatavuse jaoks Tuvastama. Mitte ainult Drupal, vaid võite testida ka teisi platvorme (WordPress, Joomla, JavaScript, PHP jne).

Täieliku veebisaidi turvaauditi tegemiseks võite selle TASUTA alustada. Vaadake minu eelmist blogipostitust Detectifyga alustamise kohta.

Tuvastamise hea külg on see, et saate tegevusaruande, mida on kiire jälgida, et riski kiiremini leevendada.

Loodan, et ülaltoodud tööriistad aitavad teil oma Drupali saidil leida turvariski, nii et saate selle parandada enne, kui keegi seda kuritarvitab. Ole kindel!

Sildid:

  • Drupal

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map