English English French French Spanish Spanish German German
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

8 Drupal-Sicherheitsscanner zum Auffinden von Sicherheitslücken

Drupal-Sicherheitsscanner
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Wie finde ich Sicherheitslücken in Drupal CMS (Content Management System)?

Drupal ist das drittgrößte Open-Source-CMS, das mit a verwendet wird Marktanteil von mehr als 4.5%. Es gibt fast eine Million Websites, die von ihnen betrieben werden, was mehr als genug ist, um anzulocken ein Angreifer und Hacker.

Wenn Sie Drupal für Ihre Website verwenden und sich nicht sicher sind, ob es vor bekannten Sicherheitslücken geschützt ist, keine vertraulichen Informationen preisgibt, eine Fehlkonfiguration aufweist usw., dann helfen Ihnen die folgenden Tools.

Bereit zu erkunden?

Machen wir das.

Droopescan

Droopescan ist ein Python-basierter Scanner, der Sicherheitsforschern hilft, grundlegende Risiken in der installierten Version von Drupal zu finden. Es gibt die folgenden vier Hauptprüfungen, die von diesem winzigen Programm durchgeführt werden.

  1. Plugins
  2. WordPress Themes
  3. Versionen
  4. Spezielle URL (Admin, Readme, Changelog usw.)
root@wp:~/droopescan# droopescan scan drupal -u http://bloggerflare.com
[+] No themes found.                                                            
[+] Possible interesting urls found:
    Default admin - http://bloggerflare.com/user/login
[+] Possible version(s):
    8.5.0
    8.5.0-alpha1
    8.5.0-beta1
    8.5.0-rc1
    8.5.1
    8.5.2
    8.5.3
    8.5.4
    8.5.5
    8.5.6
[+] No plugins found.
[+] Scan finished (0:03:32.286747 elapsed)

Sie haben es vielleicht bemerkt; dass dies kein Online-Scanner ist, also müssen Sie Python installieren und den Code auf Ihrem Server klonen, um den Test auszuführen.

Sie können einen Test für mehrere URLs gleichzeitig durchführen, und die Ergebnisse werden auf dem Terminal angezeigt. Droopescan kann auch mit WordPress, Joomla, Moodle und SilverStripe arbeiten. Aber für WordPress würde ich empfehlen, dies zu überprüfen Liste des Scanners.

Pentest-Tools

Drupal-Schwachstellen-Scan von Pentest-Tools ist ein Online-Scanner, mit dem Sie die Sicherheit Ihrer Site überprüfen können, um Schwachstellen in Plugins, Konfigurationen und Kerndateien herauszufinden.

Drupal-Schwachstellen-Scanner

Die Scanergebnisse sind gut erklärt und Sie haben die Möglichkeit, sie im PDF-Format abzurufen. Sie benötigen 50 Credits, um dieses Tool auszuführen.

Drupwn

Ein Python-basiertes Dienstprogramm zum Auflisten und Ausnutzen von Drupal 6- und 8-Versionen. Du kannst rennen Drupwn in zwei Modi.

Aufzählung, um Folgendes zu überprüfen.

  • Cookies
  • User-agent
  • Protokollierung
  • Mitglied
  • Knoten
  • Modul
  • Thema
  • Verzögerung anfordern

Und Exploit-Modus, um Schwachstellen zu überprüfen.

Sie können es starten, indem Sie es mit einem Python- oder Docker-Image installieren.

SUCURI

SUCURI SiteCheck ist ein allgemeiner Sicherheitsscanner, mit dem Sie schnell herausfinden können, ob Ihre Drupal-Website mit bekannter Malware infiziert ist, über veraltete Software verfügt, auf der schwarzen Liste steht und ein beliebter Website-Fehler vorliegt. Nichts Spezifisches für Drupal, aber es lohnt sich, jede Internetseite zu scannen.

SUKURI bietet auch kontinuierliche Sicherheit für Drupal Websites zum Schutz und zur Beschleunigung.

drupal-sucuri

Sein umfassender Schutz vor Angreifern/Hackern und DDoS-Angriffen für kleine bis große Unternehmen.

Hacker Target

Ein kostenloses Online passiver Scan um den Basistest für Folgendes durchzuführen.

  • Identifizieren Sie Design, Plugins und iFrame
  • Client-seitige JavaScript-Dateien anzeigen
  • Erkennen Sie die Drupal-Version und prüfen Sie, ob diese anfällig ist
  • Überprüfen Sie, ob die URL von Google auf der schwarzen Liste steht
  • Überprüfen Sie, ob die Verzeichnisindizierung aktiviert ist

Es ist kein umfassender Test, aber für den Anfang gut.

Acunetix

Ein unternehmensfähiger Cloud-basierter Scanner zum Erkennen von Schwachstellen in CMS, einschließlich Drupal. Acunetix erkennt das Sicherheitsrisiko gegen OWASP Top 10 und bekannte Online-Schwachstellen mit mehr als 500 Arten von Angriffen.

acunetix-issue-tracker

Wenn Sie Drupal in einer großen Organisation verwenden, in der Sie den Compliance-Bericht einreichen müssen, sind Sie abgesichert. Sie können PCI-DSS-, HIPAA- usw. Compliance-Berichte über das Dashboard erstellen.

Sie bieten eine 14-tägige Testversion an, also probieren Sie es aus. Sie können ihren Online-Scanner auswählen, sodass Sie nichts auf Ihrem Server installieren müssen.

Sqreen

Sqreen Scanner ist nicht gerade auf Drupal ausgerichtet, aber auf jede moderne Anwendung oder jeden Online-Shop anwendbar, um einige der folgenden häufigen Schwachstellenangriffe zu finden.

  • SQL-Injection
  • Cross-Site-Skripting
  • MIME schnüffelt
  • Daten in einer Kommunikation manipulieren
  • Clickjacking
  • DDoS

Update: Sqreen wurde von Datadog übernommen

Detectify

Testen Sie mit auf über 1000 Schwachstellen Erkenne. Nicht nur Drupal, sondern Sie können auch andere Plattformen (WordPress, Joomla, JavaScript, PHP usw.) testen.

erkennen-cms-scan

Sie können es KOSTENLOS starten, um ein vollständiges Website-Sicherheitsaudit durchzuführen. Schauen Sie sich meinen vorherigen Blog-Beitrag an Erste Schritte mit Detectify.

Das Gute an Detectify ist, dass Sie einen umsetzbaren Bericht erhalten, der einfach zu befolgen ist, um das Risiko schneller zu mindern.

Ich hoffe, die oben genannten Tools helfen Ihnen, Sicherheitsrisiken auf Ihrer Drupal-Site zu finden, damit Sie sie beheben können, bevor sie jemand missbraucht. Bleiben Sie gesichert!

Danke an unsere Sponsoren
Macht Ihr Geschäft
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder