4个用于扫描vBulletin安全漏洞的工具

在vBulletin社区软件中查找漏洞。

vBulletin是互联网上使用最广泛的社区、论坛软件之一，为超过100,000个网站提供动力。和其他软件一样，如果没有正确加固和保护，vBulletin可能存在漏洞。

作为最佳实践，您应该经常扫描面向互联网的社区，以查找漏洞，这样您可以在黑客看到之前采取措施。有两种方法：

手动 – 定期运行安全扫描。
自动 – 利用基于云的扫描器定期进行扫描，并在发现漏洞时通知您。

如您所料，自动方式听起来更好。

为什么要保护论坛？

有人可能会说，我的业务不是论坛。它只是供人们互相交流、提出问题等等。

但是想想这个 – 您的在线业务有一个论坛，有超过100万个用户。您不关心安全性，有一天论坛被黑客攻击并泄露所有用户详细信息。

多么尴尬，声誉损失，消费者信任流失等等。

让我们探索这些工具。

VBScan

由OWASP项目开发。

VBScan基于Perl，能够分析vBulletin的漏洞。它包含70多个模块来检测漏洞。

安装很简单，您可以在任何操作系统上使用它。

从GitHub下载最新版本
解压缩（如果您下载的是zip文件）
进入解压缩时创建的新文件夹
将vbscan.pl的权限更改为可执行

chmod 755 vbscan.pl

然后您就可以使用了！

root@yaoweibin:~/vbscan-0.1.8# ./vbscan.pl
  _  _  ____  ___   ___    __    _  _
 ( / )(  _ / __) / __)  /__  ( ( )
    /  ) _ <__ ( (__  /(__)  )  (
   /  (____/(___/ ___)(__)(__)(_)_)
		(1337.today)
   
    --=[OWASP VBScan
    +---++---==[Version : 0.1.8
    +---++---==[Update Date : [2018/09/13]
    +---++---==[Author : Mohammad Reza Espargham
    +---++---==[Website : www.reza.es
    --=[Code name : Self Challenge
     @OWASP_VBScan , @rezesp , @OWASP


   Usage: 
 	./vbscan.pl 
	./vbscan.pl http://target.com/vbulletin


   Options: 
	./vbscan.pl --help

root@yaoweibin:~/vbscan-0.1.8#

升级vbscan很容易。

./vbscan.pl --upgrade

CMSScan

上述提到的VBScan赋予了CMSScan的功能。它提供的一个优势是调度程序。如果您正在寻找一个开源解决方案来定期运行并通过电子邮件发送报告，那么这是一个很好的选择。

CMSScan不仅可以测试vBulletin，还可以测试WordPress和Joomla、Drupal。

默认情况下，Web界面监听端口7070，当您在浏览器中访问时，您将看到一个漂亮的页面，您可以在其中输入要扫描的URL。

root@yaoweibin:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595