8 „Drupal“ saugos skaitytuvas pažeidžiamumui nustatyti

Kaip rasti saugos spragas „Drupal CMS“ (turinio valdymo sistema)?


„Drupal“ yra trečia pagal dydį atvirojo kodo CMS, naudojama kartu su rinkos dalis didesnė kaip 4,5%. Jų yra beveik milijonas svetainių, kurių yra daugiau nei pakankamai, kad pritrauktų užpuoliką ir įsilaužėlį.

Jei naudojate „Drupal“ savo svetainei ir nesate tikri, ar ji nėra apsaugota nuo žinomų pažeidžiamumų, neatskleidžia neskelbtinos informacijos, turi neteisingą konfigūraciją ir pan., Tada šie įrankiai padės jums.

Parengta tyrinėti?

Padarykime tai.

Droopescan

Droopescan yra python pagrindu veikiantis skaitytuvas, padedantis saugumo tyrinėtojams rasti pagrindinę riziką įdiegtoje „Drupal“ versijoje. Ši mažytė programa atlieka šiuos keturis pagrindinius patikrinimus.

  1. Papildiniai
  2. Temos
  3. Versijos
  4. Specialus URL (admin, readme, changelog ir kt.)

[apsaugotas el. paštu]: ~ / droopescan # droopescan scan drupal -u http://bloggerflare.com
[+] Nerasta jokių temų.
Rasti galimi įdomūs URL:
Numatytasis administratorius – http://bloggerflare.com/user/login
[+] Galima versija (-os):
8.5.0
8.5.0-alfa1
8.5.0-beta1
8.5.0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] Nerasta jokių papildinių.
[+] Nuskaitymas baigtas (baigėsi 0: 03: 32.286747)

Galbūt supratote; tai nėra internetinis skaitytuvas, todėl norėdami atlikti testą, turite įdiegti Python ir klonuoti kodą savo serveryje.

Galite vienu metu atlikti kelių URL bandymą, o rezultatai rodomi terminale. „Droopescan“ taip pat gali dirbti su „WordPress“, „Joomla“, „Moodle“ ir „SilverStripe“. Bet „WordPress“ aš rekomenduočiau patikrinti šį skaitytuvo sąrašą.

„Pentest“ įrankiai

Drupal pažeidžiamumo nuskaitymas „Pentest“ įrankiai yra internetinis skaitytuvas, kuriame galite patikrinti savo svetainės apsaugą, kad sužinotumėte apie papildinių, konfigūracijos ir pagrindinių failų pažeidžiamumą.

Nuskaitymo rezultatai yra gerai paaiškinti, ir jūs turite galimybę gauti juos PDF formatu. Norint paleisti šį įrankį, reikia 50 kreditų.

Girtas

„Python“ pagrindu sukurta programa, leidžianti išvardyti ir naudoti „Drupal 6“ ir „8“ versijas. Galite bėgti Girtas dviem režimais.

Surašymas norint patikrinti šiuos dalykus.

  • Slapukai
  • Vartotojo atstovas
  • Medienos ruoša
  • Vartotojas
  • Mazgas
  • Modulis
  • Tema
  • Prašyti atidėti

Jei norite patikrinti pažeidžiamumą, naudokite režimą.

Tai galite pradėti įdiegę naudodami „Python“ arba „Docker“ atvaizdą.

SUKURI

„SUCURI SiteCheck“ yra bendras saugos skeneris, skirtas greitai sužinoti, ar jūsų „Drupal“ svetainė nėra užkrėsta žinoma kenkėjiška programa, pasenusi programinė įranga, juodojo sąrašo ir populiarios svetainės klaida. Nieko konkretaus Drupal, tačiau verta nuskaityti bet kurią interneto svetainę.

SUCURI taip pat teikia nuolatinis „Drupal“ saugumas svetaines, skirtas apsaugoti ir pagreitinti.

Visapusiška apsauga nuo užpuolikų / įsilaužėlių, DDoS atakų mažoms įmonėms iki verslo lygio.

Piratų taikinys

Nemokamas internetas pasyvus nuskaitymas atlikti pagrindinį testą šiais būdais.

  • Nustatykite temą, papildinius ir „iFrame“
  • Rodyti kliento „JavaScript“ failus
  • Aptikite „Drupal“ versiją ir patikrinkite, ar ji nėra pažeidžiama
  • Patikrinkite, ar „Google“ URL nėra įtrauktas į juodąjį sąrašą
  • Patikrinkite, ar įjungtas katalogų indeksavimas

Tai nėra išsamus testas, tačiau pradėti reikia gerai.

„Acunetix“

Įmonei paruoštas debesų skaitytuvas, skirtas aptikti CMS, įskaitant „Drupal“, pažeidžiamumą. „Acunetix“ nustato saugumo riziką OWASP top 10 ir žinomi internetiniai pažeidžiamumai, turintys daugiau nei 500 atakų rūšių.

Ir jei jūs naudojate „Drupal“ didelėje organizacijoje, kur jūs turite pateikti atitikties ataskaitą, jums tai taikoma. Iš jų prietaisų skydelio galite generuoti PCI DSS, HIPAA ir kt. Normų atitikties ataskaitas.

Jie siūlo 14 dienų bandomąją versiją, todėl eik į priekį ir pamėgink. Galite pasirinkti jų internetinį skaitytuvą, taigi jums nieko nereikia įdiegti į savo serverį.

Sqreen

„Sqreen“ skaitytuvas nėra tiksliai skirtas „Drupal“, tačiau pritaikomas bet kuriai moderniai programai ar internetinei parduotuvei, norint rasti kai kurias iš šių įprastų pažeidžiamumų atakų.

  • SQL injekcija
  • Skirtingų svetainių scenarijai
  • MIME uostymas
  • Duomenų klastojimas komunikacijoje
  • „Clickjacking“
  • DDoS

Nustatyti

Išbandykite daugiau nei 1000 pažeidžiamumų naudodami Nustatyti. Ne tik „Drupal“, bet galite išbandyti ir kitas platformas („WordPress“, „Joomla“, „JavaScript“, PHP ir kt.).

Galite pradėti nemokamai ir atlikti išsamų svetainės saugumo auditą. Peržiūrėkite mano ankstesnį tinklaraščio įrašą apie darbo su „Detectify“ pradžią.

„Detectify“ geras dalykas yra tai, kad jūs gaunate pranešimą, kurį galima lengvai pritaikyti, kad greičiau sumažintumėte riziką..

Tikiuosi, kad aukščiau išvardyti įrankiai padės rasti saugumo riziką jūsų „Drupal“ svetainėje, kad galėtumėte ją išspręsti, kol kas nors netinkamai ją naudoja. Būkite saugūs!

ŽENKLAI:

  • Drupalis

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map