8 סורק אבטחה דרופל למציאת פגיעויות

כיצד למצוא פגיעויות אבטחה ב- Drupal CMS (מערכת לניהול תוכן)?


דרופל הוא CMS בקוד הפתוח השלישי בגודלו המשמש יחד עם נתח שוק של יותר מ -4.5%. ישנם קרוב למיליון אתרים המופעלים על ידם, וזה יותר מדי מספיק כדי למשוך תוקף והאקר.

אם אתה משתמש ב- Drupal לאתר שלך ולא בטוח אם הוא מאובטח מפני פגיעויות ידועות, לא יחשוף את המידע הרגיש, יש תצורה שגויה וכו ‘, הכלים הבאים יעזרו לך.

מוכנים לחקור?

בוא נעשה את זה.

דרופסקאן

דרופסקאן הוא סורק מבוסס פיתון שעוזר לחוקר אבטחה למצוא סיכון בסיסי בגירסה המותקנת של דרופל. יש את ארבעת הבדיקות העיקריות הבאות שנעשו על ידי התוכנית הזעירה הזו.

  1. תוספים
  2. ערכות נושא
  3. גרסאות
  4. כתובת אתר מיוחדת (admin, readme, changelog וכו ‘)

[מוגן בדוא”ל]: ~ / droopescan # droopescan סריקה drupal -u http://bloggerflare.com
[+] לא נמצאו ערכות נושא.
[+] נמצאו כתובות אתרים מעניינות:
מנהל ברירת מחדל – http://bloggerflare.com/user/login
[+] גרסאות אפשריות:
8.5.0
8.5.0-alpha1
8.5.0-beta1
8.5.0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] לא נמצאו תוספים.
[+] הסריקה הסתיימה (0: 03: 32.286747 חלפה)

יתכן שהבנת; זה לא סורק מקוון, אז עליכם להתקין את הפייתון ולשכפל את הקוד בשרת שלכם כדי להריץ את הבדיקה..

אתה יכול לבצע בדיקה במספר כתובות אתרים בו זמנית והתוצאות מוצגות בטרמינל. Droopescan יכול לעבוד גם עם WordPress, Joomla, Moodle ו- SilverStripe. אבל לגבי וורדפרס, הייתי ממליץ לבדוק את רשימת הסורקים הזו.

כלי פנטסט

סריקת פגיעות דרופל מאת כלי פנטסט הוא סורק מקוון בו תוכלו לבצע ביקורת על אבטחת האתר שלכם כדי לגלות פגיעויות בתוספי קבצים, תצורה וקבצי ליבה.

תוצאות הסריקה מוסברות היטב, ויש לך אפשרות להשיג אותן בפורמט PDF. כדי להפעיל כלי זה דרוש לך 50 נקודות זכות.

דרופי

כלי מבוסס-פיתון לביצוע ספירה וניצול מול גרסאות דרופל 6 ו- 8. אתה יכול לרוץ דרופי בשני מצבים.

ספירה כדי לבדוק את הדברים הבאים.

  • עוגיות
  • סוכן משתמש
  • רישום
  • משתמש
  • צומת
  • מודול
  • נושא
  • בקש עיכוב

וכן, השתמש במצב כדי לבדוק את הפגיעויות.

אתה יכול להתחיל את זה על ידי התקנה באמצעות תמונה Python או Docker.

סוקורי

בדיקת אתר SUCURI הוא סורק אבטחה כללי כדי לגלות במהירות אם אתר Drupal שלך נגוע בתוכנה זדונית ידועה, בעל תוכנה מיושנת, רשימה שחורה ושגיאה פופולרית באתר. שום דבר ספציפי לדרופל אבל שווה לסרוק כל אתר אינטרנט.

SUCURI מספקת גם אבטחה מתמשכת עבור דרופל אתרים להגנה ולהאצה.

ההגנה המקיפה שלה מפני התקפות / האקרים, התקפות DDoS עבור עסקים קטנים עד ארגוניים.

יעד האקר

מקוון חינם סריקה פסיבית לבצע את הבדיקה הבסיסית שלהלן.

  • זהה נושא, תוספים ו- iFrame
  • הצג קבצי JavaScript בצד הלקוח
  • סמן את גרסת הדרופל ובדוק אם זה פגיע
  • בדוק אם כתובת האתר מופיעה ברשימה השחורה על ידי Google
  • בדוק אם אינדקס ספריות מופעל

זה לא המבחן המקיף אבל טוב להתחיל איתו.

אקונטיקס

סורק מבוסס ענן מוכן לארגון לאיתור פגיעויות ב- CMS, כולל דרופל. אקונטיקס מגלה את הסיכון הביטחוני נגדו OWASP המדורגים 10 ופגיעויות מקוונות ידועות עם יותר מ- 500 סוגים של התקפות.

ואם אתה משתמש בדרופל בארגון גדול בו אתה צריך להגיש את דוח הציות, אתה מכוסה. אתה יכול ליצור דוחות תאימות רגולטוריים של PCI DSS, HIPAA וכו ‘מלוח המחוונים שלהם.

הם מציעים ניסיון של 14 יום, אז קדימה לנסות. אתה יכול לבחור את הסורק המקוון שלהם, כך שלא תצטרך להתקין שום דבר בשרת שלך.

סקרין

סורק סקרין אינו מיועד בדיוק לדרופל אך חל על כל יישום מודרני או חנות מקוונת כדי למצוא כמה מהתקפות הפגיעויות הנפוצות הבאות..

  • הזרקת SQL
  • סקריפטים חוצה אתרים
  • MIME מרחרח
  • אילוף נתונים בתקשורת
  • לחיצה על קליקים
  • DDoS

לגלות

בדוק מעל 1000 נקודות תורפה עם לגלות. לא רק דרופל, אלא תוכלו לבדוק גם פלטפורמות אחרות (וורדפרס, ג’ומלה, JavaScript, PHP וכו ‘).

אתה יכול להתחיל את זה בחינם לביצוע ביקורת אבטחה מלאה באתר. עיין בפוסט הבלוג הקודם שלי לגבי תחילת העבודה עם Detectify.

הדבר הטוב ב- Detectify הוא שאתה מקבל דוח הניתן לביצוע שקל לבצע אותו כדי להפחית את הסיכון במהירות רבה יותר.

אני מקווה שהכלים לעיל יעזרו לכם למצוא סיכון אבטחה באתר דרופל, כך שתוכלו לתקן זאת לפני שמישהו ישתמש בזה לרעה. הישאר מאובטח!

תגיות:

  • דרופל

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map