8 Drupal-sekuriteitsskandeerder om kwesbaarhede te vind

Hoe om beveiligings kwesbaarhede te vind in Drupal CMS (Content Management System)?


Drupal is die derde grootste open source CMS wat gebruik word met ‘n markaandeel van meer as 4,5%. Daar is byna ‘n miljoen webwerwe wat deur hulle aangedryf word, wat meer as genoeg is om ‘n aanvaller en hacker te lok.

As u Drupal vir u webwerf gebruik en nie seker is of dit beveilig is teen bekende kwesbaarhede nie, die sensitiewe inligting, die verkeerde konfigurasie, ens. Nie blootgestel word nie, sal die volgende instrumente u help.

Klaar om te verken?

Kom ons doen dit.

Droopescan

Droopescan is ‘n python-gebaseerde skandeerder om veiligheidsnavorser te help om basiese risiko’s in die geïnstalleerde weergawe van Drupal te vind. Daar is die volgende vier hoofkontroles wat deur hierdie klein program gedoen word.

  1. proppe
  2. Temas
  3. weergawes
  4. Spesiale URL (admin, readme, changelog, ens.)

[Email protected]: ~ / droopescan # droopescan scan drupal -u http://bloggerflare.com
[+] Geen temas gevind nie.
[+] Moontlike interessante URL’s gevind:
Verstek admin – http://bloggerflare.com/user/login
[+] Moontlike weergawe (s):
8.5.0
8.5.0-alfa1
8.5.0-beta1
8.5.0-RC1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] Geen inproppe gevind nie.
[+] Skandering is voltooi (0: 03: 32.286747 verstreke)

U het miskien besef; dit is nie ‘n aanlynskandeerder nie, dus moet u die Python installeer en die kode op u bediener kloon om die toets uit te voer.

U kan gelyktydig ‘n toets op verskeie URL’s uitvoer, en die resultate word op die terminale getoon. Droopescan kan ook met WordPress, Joomla, Moodle en SilverStripe werk. Maar vir WordPress sou ek aanbeveel om hierdie lys van die skandeerder na te gaan.

Pentest-gereedskap

Drupal-kwesbaarheidskandering deur Pentest-gereedskap is ‘n aanlynskandeerder waar u u beveiliging van die werf kan kontroleer om kwesbaarhede in plugins, konfigurasie en kernlêers uit te vind.

Die skanderingsresultate word goed uiteengesit, en u het die opsie om dit in PDF-formaat te kry. U benodig 50 krediete om hierdie instrument te gebruik.

Drupwn

‘N Python-gebaseerde hulpmiddel om tellings en uitbuiting teen Drupal 6 en 8 weergawes uit te voer. Jy kan hardloop Drupwn in twee modusse.

Opsomming om die volgende na te gaan.

  • koekies
  • Gebruiker-agent
  • meld
  • gebruiker
  • knoop
  • module
  • tema
  • Versoek om uitstel

En benut die modus om kwesbaarhede na te gaan.

U kan dit begin deur Python of Docker-beeld te installeer.

SUCURI

SUCURI-webwerfkontrole is ‘n algemene sekuriteitsskandeerder om vinnig uit te vind of u Drupal-webwerf besmet is met bekende malware, met ‘n verouderde sagteware, swartlys en gewilde foute op die webwerf. Niks spesifiek vir Drupal nie, maar die moeite werd om enige webwerf te skandeer.

SUCURI bied ook deurlopende sekuriteit vir Drupal webwerwe om te beskerm en te versnel.

Die uitgebreide beskerming teen aanvaller / hacker, DDoS-aanvalle vir klein tot ondernemingsvlak.

Hacker-teiken

‘N Gratis aanlyn passiewe skandering om die basiese toets op die volgende uit te voer.

  • Identifiseer tema, plugins en iFrame
  • Wys JavaScript-lêers aan die kliënt
  • Ontdek Drupal-weergawe en kyk of dit kwesbaar is
  • Kyk of Google se URL op die swartlys verskyn
  • Kyk of gidsindeksering aangeskakel is

Dit is nie die uitgebreide toets nie, maar goed om mee te begin.

Acunetix

‘N wolk-gebaseerde skandeerder wat op ondernemings gereed is om kwesbaarhede in CMS op te spoor, insluitend Drupal. Acunetix ontdek die veiligheidsrisiko teen OWASP top 10 en bekende aanlyn kwesbaarhede met meer as 500 soorte aanvalle.

En as u Drupal gebruik in ‘n groot organisasie waar u die voldoeningsverslag moet indien, dan is u gedek. U kan PCI DSS, HIPAA, ensovoorts, verslae oor regulatoriese nakoming vanaf hul dashboard opstel.

Hulle bied ‘n proefperiode van 14 dae aan, dus probeer gerus. U kan hul aanlynskandeerder kies, sodat u niks op u bediener hoef te installeer nie.

Sqreen

Sqreen-skandeerder is nie presies geteiken vir Drupal nie, maar is van toepassing op enige moderne toepassing of aanlynwinkel om enkele van die volgende algemene kwesbaarheidsaanvalle te vind.

  • SQL-inspuiting
  • Kruiswêreldskripsies
  • MIME snuif
  • Beperk data in ‘n kommunikasie
  • Clickjacking
  • DDOS

Detectify

Toets vir meer as 1000 kwesbaarhede met Detectify. Nie net Drupal nie, maar u kan ook ander platforms toets (WordPress, Joomla, JavaScript, PHP, ens.).

U kan dit GRATIS begin om ‘n volledige veiligheidsoudit van die webwerf uit te voer. Kyk na my vorige blogpos oor die begin met Detectify.

Die goeie ding met Detectify is dat u ‘n uitvoerbare verslag kry wat maklik is om te volg om die risiko vinniger te verminder.

Ek hoop dat die bogenoemde instrumente u help om veiligheidsrisiko op u Drupal-webwerf te vind, sodat u dit kan regstel voordat iemand dit misbruik. Bly veilig!

Tags:

  • Drupal

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map