Drupal CMS(コンテンツ管理システム)のセキュリティ脆弱性を見つける方法?
Drupalは、3番目に大きいオープンソースCMSであり、 4.5%以上の市場シェア. それらを利用した100万近くのサイトがあり、攻撃者やハッカーを引き付けるには十分以上のサイトです.
WebサイトにDrupalを使用していて、既知の脆弱性から保護されているかどうか、機密情報が公開されていないか、設定が間違っているかなどが不明な場合は、次のツールが役立ちます。.
探検する準備ができて?
やってみましょう.
Droopescan
Droopescan は、セキュリティ研究者がインストールされているバージョンのDrupalの基本的なリスクを見つけるのに役立つ、Pythonベースのスキャナーです。この小さなプログラムによって実行される次の4つの主要なチェックがあります。.
- プラグイン
- テーマ
- バージョン
- 特別なURL(admin、readme、changelogなど)
[メール保護]:〜/ droopescan#droopescan scan drupal -u http://bloggerflare.com
[+]テーマが見つかりません.
[+]興味深いURLが見つかりました:
デフォルトの管理者-http://bloggerflare.com/user/login
[+]可能なバージョン:
8.5.0
8.5.0-alpha1
8.5.0-beta1
8.5.0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+]プラグインが見つかりません.
[+]スキャンが終了しました(0:03:32.286747経過)
あなたは気づいたかもしれません。これはオンラインスキャナーではないため、Pythonをインストールし、サーバーにコードを複製してテストを実行する必要があります.
複数のURLで同時にテストを実行でき、結果がターミナルに表示されます。 Droopescanは、WordPress、Joomla、Moodle、SilverStripeにも対応しています。しかし、WordPressの場合は、このスキャナーのリストを確認することをお勧めします.
ペンテストツール
Drupal脆弱性スキャン ペンテストツール プラグイン、設定、コアファイルの脆弱性を見つけるためにサイトのセキュリティを監査できるオンラインスキャナーです.
スキャン結果は十分に説明されており、PDF形式で取得するオプションがあります。このツールを実行するには50クレジットが必要です.
Drupwn
Drupal 6および8バージョンに対して列挙および悪用を実行するためのpythonベースのユーティリティ。あなたは走ることができます Drupwn 2つのモード.
以下を確認するための列挙.
- クッキー
- ユーザーエージェント
- ロギング
- ユーザー
- ノード
- モジュール
- テーマ
- リクエストの遅延
そして、脆弱性をチェックするためのエクスプロイトモード.
PythonまたはDockerイメージを使用してインストールすることで開始できます.
すくり
SUCURI SiteCheck は、Drupalサイトが既知のマルウェアに感染しているかどうか、古いソフトウェア、ブラックリストに登録されている、人気のあるWebサイトエラーがあるかどうかをすばやく確認できる一般的なセキュリティスキャナーです。 Drupalに固有のものはありませんが、インターネットサイトをスキャンする価値はあります.
SUCURIも提供します Drupalの継続的なセキュリティ 保護および加速するサイト.
攻撃者/ハッカーに対する包括的な保護、小規模からエンタープライズレベルのビジネス向けのDDoS攻撃.
ハッカーターゲット
無料のオンライン パッシブスキャン 次の基本的なテストを実行する.
- テーマ、プラグイン、iFrameを特定する
- クライアント側のJavaScriptファイルを表示する
- Drupalのバージョンを検出し、それが脆弱かどうかを確認します
- URLがGoogleによってブラックリストに登録されているかどうかを確認します
- ディレクトリのインデックス作成が有効になっているかどうかを確認する
包括的なテストではありませんが、.
Acunetix
Drupalを含むCMSの脆弱性を検出するエンタープライズ対応のクラウドベースのスキャナー. Acunetix に対するセキュリティリスクを検出します OWASPトップ10 500種類以上の攻撃による既知のオンライン脆弱性.
また、コンプライアンスレポートを提出する必要がある大規模な組織でDrupalを使用している場合は、対象となります。ダッシュボードからPCI DSS、HIPAAなどの規制コンプライアンスレポートを生成できます.
14日間の試用版を提供しているので、試してみてください。オンラインスキャナーを選択できるため、サーバーに何もインストールする必要はありません。.
スクエアン
Sqreenスキャナー 正確にDrupalの対象ではありませんが、次の一般的な脆弱性攻撃のいくつかを見つけるために、最新のアプリケーションまたはオンラインストアに適用できます.
- SQLインジェクション
- クロスサイトスクリプティング
- MIMEスニッフィング
- 通信でのデータの改ざん
- クリックジャッキング
- DDoS
検知する
1000以上の脆弱性をテストする 検知する. Drupalだけでなく、他のプラットフォーム(WordPress、Joomla、JavaScript、PHPなど)もテストできます.
あなたはそれを無料で始めて、完全なウェブサイトセキュリティ監査を行うことができます。 Detectifyの使用開始に関する以前のブログ投稿を確認してください.
Detectifyの良い点は、リスクをより早く軽減するために簡単に実行できる実用的なレポートが得られることです。.
上記のツールがDrupalサイトのセキュリティリスクを見つけて、誰かが悪用する前に修正できるようになることを願っています。安全を確保!
タグ:
Drupal