Beveiligingsproblemen vinden in Drupal CMS (Content Management System)?
Drupal is het op twee na grootste open-source CMS dat wordt gebruikt met een marktaandeel van meer dan 4,5%. Er zijn bijna een miljoen sites die door hen worden aangedreven, wat meer dan genoeg is om een aanvaller en hacker aan te trekken.
Als u Drupal voor uw website gebruikt en niet zeker weet of het beveiligd is tegen bekende kwetsbaarheden, de gevoelige informatie niet blootstelt, een verkeerde configuratie heeft, enz., Dan zullen de volgende tools u helpen.
Klaar om te ontdekken?
Laten we het doen.
Droopescan
Droopescan is een op python gebaseerde scanner om beveiligingsonderzoeker te helpen bij het vinden van basisrisico’s in de geïnstalleerde versie van Drupal. Dit kleine programma voert de volgende vier hoofdcontroles uit.
- Plug-ins
- Thema’s
- Versies
- Speciale URL (admin, readme, changelog, etc.)
[email beveiligd]: ~ / droopescan # droopescan scan drupal -u http://bloggerflare.com
[+] Geen thema’s gevonden.
[+] Mogelijke interessante urls gevonden:
Standaardbeheerder – http://bloggerflare.com/user/login
[+] Mogelijke versie (s):
8.5.0
8.5.0-alpha1
8.5.0-beta1
8.5.0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] Geen plug-ins gevonden.
[+] Scan voltooid (0: 03: 32.286747 verstreken)
Je hebt je misschien gerealiseerd; dit is geen online scanner, dus je moet de Python installeren en de code op je server klonen om de test uit te voeren.
U kunt tegelijkertijd een test uitvoeren op meerdere URL’s en de resultaten worden weergegeven op de terminal. Droopescan kan ook werken met WordPress, Joomla, Moodle en SilverStripe. Maar voor WordPress zou ik aanraden om deze lijst met de scanner te controleren.
Pentest-Tools
Drupal kwetsbaarheidscan door Pentest-Tools is een online scanner waarmee u de beveiliging van uw site kunt controleren om kwetsbaarheden in plug-ins, configuratie en kernbestanden te achterhalen.
De scanresultaten worden goed uitgelegd en je hebt een optie om het in PDF-formaat te krijgen. Je hebt 50 credits nodig om deze tool te gebruiken.
Drupwn
Een op python gebaseerd hulpprogramma om opsomming en exploitatie uit te voeren op Drupal 6- en 8-versies. Je kan lopen Drupwn in twee modi.
Opsomming om het volgende te controleren.
- Cookies
- User-agent
- Logging
- Gebruiker
- Knooppunt
- Module
- Thema
- Verzoek om vertraging
En gebruik de modus om kwetsbaarheden te controleren.
Je kunt het starten door te installeren met Python of Docker image.
SUCURI
SUCURI SiteCheck is een algemene beveiligingsscanner om snel te achterhalen of uw Drupal-site is geïnfecteerd met bekende malware, met verouderde software, een zwarte lijst en een populaire websitefout. Niets specifieks voor Drupal, maar de moeite waard om een website te scannen.
SUCURI biedt ook continue beveiliging voor Drupal sites om te beschermen en te versnellen.
De uitgebreide bescherming tegen aanvaller / hacker, DDoS-aanvallen voor kleine tot grote bedrijven.
Hacker-doelwit
Een gratis online passieve scan om de basistest uit te voeren op het volgende.
- Identificeer thema, plug-ins en iFrame
- Toon JavaScript-bestanden aan de clientzijde
- Detecteer de Drupal-versie en controleer of dat kwetsbaar is
- Controleer of URL op de zwarte lijst staat door Google
- Controleer of indexering van mappen is ingeschakeld
Het is niet de uitgebreide test, maar goed om mee te beginnen.
Acunetix
Een enterprise-ready cloudgebaseerde scanner om kwetsbaarheden in CMS, inclusief Drupal, te detecteren. Acunetix detecteert het beveiligingsrisico tegen OWASP top 10 en bekende online kwetsbaarheden met meer dan 500 soorten aanvallen.
En als u Drupal gebruikt in een grote organisatie waar u het nalevingsrapport moet indienen, dan bent u gedekt. U kunt PCI DSS, HIPAA, enz. Rapporten over naleving van regelgeving genereren vanaf hun dashboard.
Ze bieden een proefperiode van 14 dagen, dus ga je gang en probeer het eens. U kunt hun online scanner kiezen, zodat u niets op uw server hoeft te installeren.
Sqreen
Sqreen-scanner is niet bepaald gericht op Drupal, maar is van toepassing op elke moderne applicatie of online winkel om enkele van de volgende veelvoorkomende aanvallen op kwetsbaarheden te vinden.
- SQL injectie
- Cross-site scripting
- MIME snuiven
- Knoeien met gegevens in een communicatie
- Clickjacking
- DDoS
Detecteer
Test met meer dan 1000 kwetsbaarheden met Detecteer. Niet alleen Drupal, maar je kunt ook andere platforms testen (WordPress, Joomla, JavaScript, PHP, etc.).
U kunt GRATIS aan de slag om een volledige website-beveiligingsaudit uit te voeren. Bekijk mijn vorige blogpost over aan de slag gaan met Detectify.
Het goede aan Detectify is dat u een bruikbaar rapport krijgt dat gemakkelijk te volgen is om het risico sneller te beperken.
Ik hoop dat de bovenstaande tools je helpen om veiligheidsrisico’s op je Drupal-site te vinden, zodat je het kunt oplossen voordat iemand het misbruikt. Blijf beveiligd!
TAGS:
- Drupal