8 Pengimbas Keselamatan Drupal untuk Mencari Kerentanan

Cara mencari kelemahan keselamatan di Drupal CMS (Sistem Pengurusan Kandungan)?


Drupal adalah CMS sumber terbuka ketiga terbesar yang digunakan dengan a bahagian pasaran lebih daripada 4.5%. Terdapat hampir satu juta laman web yang dikuasakan oleh mereka, yang lebih dari cukup untuk menarik penyerang dan penggodam.

Sekiranya anda menggunakan Drupal untuk laman web anda dan tidak pasti sama ada ia selamat dari kelemahan yang diketahui, tidak mendedahkan maklumat sensitif, mempunyai salah konfigurasi, dll. Maka alat berikut akan membantu anda.

Bersedia untuk diterokai?

Mari lakukannya.

Droopescan

Droopescan adalah pengimbas berasaskan python untuk membantu penyelidik keselamatan mencari risiko asas dalam versi Drupal yang dipasang. Terdapat empat pemeriksaan utama berikut yang dilakukan oleh program kecil ini.

  1. Pemalam
  2. Tema
  3. Versi
  4. URL khas (pentadbir, readme, changelog, dll.)

[dilindungi e-mel]: ~ / droopescan # droopescan scan drupal -u http://bloggerflare.com
[+] Tema tidak dijumpai.
[+] Kemungkinan terdapat url menarik:
Pentadbir lalai – http://bloggerflare.com/user/login
[+] Versi yang mungkin:
8.5.0
8.5.0-alpha1
8.5.0-beta1
8.5.0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] Tidak dijumpai pemalam.
[+] Imbasan selesai (0: 03: 32.286747 berlalu)

Anda mungkin sedar; ini bukan pengimbas dalam talian, jadi anda perlu memasang Python dan mengkloning kod di pelayan anda untuk menjalankan ujian.

Anda boleh melakukan ujian pada banyak URL secara serentak, dan hasilnya ditunjukkan di terminal. Droopescan juga boleh berfungsi dengan WordPress, Joomla, Moodle, dan SilverStripe. Tetapi untuk WordPress, saya akan mengesyorkan memeriksa senarai pengimbas ini.

Alat Pentest

Imbasan kerentanan Drupal oleh Alat Pentest adalah pengimbas dalam talian di mana anda dapat mengaudit keselamatan laman web anda untuk mengetahui kelemahan dalam pemalam, konfigurasi, dan fail teras.

Hasil imbasan dijelaskan dengan baik, dan anda mempunyai pilihan untuk mendapatkannya dalam format PDF. Anda memerlukan 50 kredit untuk menjalankan alat ini.

Keletihan

Utiliti berasaskan python untuk melakukan penghitungan dan eksploitasi terhadap versi Drupal 6 dan 8. Anda boleh berlari Keletihan dalam dua mod.

Penghitungan untuk memeriksa perkara berikut.

  • Kuki
  • Ejen pengguna
  • Pembalakan
  • Pengguna
  • Node
  • Modul
  • Tema
  • Mohon kelewatan

Dan, gunakan mod untuk memeriksa kelemahan.

Anda boleh memulakannya dengan memasang menggunakan gambar Python atau Docker.

SUCURI

Semak Laman SUCURI adalah pengimbas keselamatan umum untuk mengetahui dengan cepat jika laman Drupal anda dijangkiti perisian hasad yang diketahui, mempunyai perisian lama, senarai hitam, dan kesalahan laman web yang popular. Tidak ada yang khusus untuk Drupal tetapi patut mengimbas laman Internet mana pun.

SUCURI juga menyediakan keselamatan berterusan untuk Drupal laman web untuk melindungi dan mempercepat.

Perlindungannya yang komprehensif terhadap penyerang / penggodam, serangan DDoS untuk perniagaan kecil hingga peringkat perusahaan.

Sasaran Peretas

Dalam talian percuma imbasan pasif untuk melakukan ujian asas mengenai perkara berikut.

  • Kenal pasti tema, pemalam dan iFrame
  • Tunjukkan fail JavaScript sisi pelanggan
  • Depetect versi Drupal dan periksa apakah itu rentan
  • Periksa sama ada URL disenarai hitam oleh Google
  • Periksa sama ada pengindeksan direktori diaktifkan

Bukan ujian yang komprehensif tetapi bagus untuk memulakannya.

Acunetix

Pengimbas berasaskan cloud yang siap untuk mengesan kerentanan dalam CMS, termasuk Drupal. Acunetix mengesan risiko keselamatan terhadap 10 teratas OWASP dan kelemahan dalam talian yang diketahui dengan lebih daripada 500 jenis serangan.

Dan, jika anda menggunakan Drupal di organisasi besar di mana anda harus menyerahkan laporan pematuhan, maka anda dilindungi. Anda boleh menghasilkan laporan kepatuhan peraturan PCI DSS, HIPAA, dll. Dari papan pemuka mereka.

Mereka menawarkan percubaan 14 hari, jadi teruskan dan cuba. Anda boleh memilih pengimbas dalam talian mereka, jadi anda tidak perlu memasang apa-apa di pelayan anda.

Sqreen

Pengimbas Sqreen tidak disasarkan tepat untuk Drupal tetapi berlaku untuk aplikasi moden atau kedai dalam talian untuk mencari beberapa serangan kerentanan umum berikut.

  • Suntikan SQL
  • Skrip merentas laman web
  • MIME menghidu
  • Mengacau data dalam komunikasi
  • Jejak Klik
  • DDoS

Kesan

Uji lebih daripada 1000 kelemahan dengan Kesan. Bukan hanya Drupal, tetapi anda juga boleh menguji platform lain (WordPress, Joomla, JavaScript, PHP, dll.).

Anda boleh memulakannya secara PERCUMA untuk melakukan audit keselamatan laman web yang lengkap. Lihat entri blog saya sebelumnya mengenai memulakan dengan Detectify.

Perkara yang baik mengenai Detectify adalah, anda mendapat laporan yang dapat diambil tindakan yang mudah diikuti untuk mengurangkan risiko dengan lebih cepat.

Saya harap alat di atas dapat membantu anda mencari risiko keselamatan di laman Drupal anda supaya anda dapat memperbaikinya sebelum seseorang menyalahgunakannya. Tetap selamat!

TAG:

  • Drupal

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector