Wie finde ich Sicherheitslücken in Drupal CMS (Content Management System)?
Drupal ist das drittgrößte Open-Source-CMS, das mit a verwendet wird Marktanteil von mehr als 4.5%. Es gibt fast eine Million Websites, die von ihnen betrieben werden, was mehr als genug ist, um anzulocken ein Angreifer und Hacker.
Wenn Sie Drupal für Ihre Website verwenden und sich nicht sicher sind, ob es vor bekannten Sicherheitslücken geschützt ist, keine vertraulichen Informationen preisgibt, eine Fehlkonfiguration aufweist usw., dann helfen Ihnen die folgenden Tools.
Bereit zu erkunden?
Machen wir das.
Droopescan
Droopescan ist ein Python-basierter Scanner, der Sicherheitsforschern hilft, grundlegende Risiken in der installierten Version von Drupal zu finden. Es gibt die folgenden vier Hauptprüfungen, die von diesem winzigen Programm durchgeführt werden.
- Plugins
- WordPress Themes
- Versionen
- Spezielle URL (Admin, Readme, Changelog usw.)
root@wp:~/droopescan# droopescan scan drupal -u http://bloggerflare.com
[+] No themes found.
[+] Possible interesting urls found:
Default admin - http://bloggerflare.com/user/login
[+] Possible version(s):
8.5.0
8.5.0-alpha1
8.5.0-beta1
8.5.0-rc1
8.5.1
8.5.2
8.5.3
8.5.4
8.5.5
8.5.6
[+] No plugins found.
[+] Scan finished (0:03:32.286747 elapsed)
Sie haben es vielleicht bemerkt; dass dies kein Online-Scanner ist, also müssen Sie Python installieren und den Code auf Ihrem Server klonen, um den Test auszuführen.
Sie können einen Test für mehrere URLs gleichzeitig durchführen, und die Ergebnisse werden auf dem Terminal angezeigt. Droopescan kann auch mit WordPress, Joomla, Moodle und SilverStripe arbeiten. Aber für WordPress würde ich empfehlen, dies zu überprüfen Liste des Scanners.
Pentest-Tools
Drupal-Schwachstellen-Scan von Pentest-Tools ist ein Online-Scanner, mit dem Sie die Sicherheit Ihrer Site überprüfen können, um Schwachstellen in Plugins, Konfigurationen und Kerndateien herauszufinden.

Die Scanergebnisse sind gut erklärt und Sie haben die Möglichkeit, sie im PDF-Format abzurufen. Sie benötigen 50 Credits, um dieses Tool auszuführen.
Drupwn
Ein Python-basiertes Dienstprogramm zum Auflisten und Ausnutzen von Drupal 6- und 8-Versionen. Du kannst rennen Drupwn in zwei Modi.
Aufzählung, um Folgendes zu überprüfen.
- Cookies
- User-agent
- Protokollierung
- Mitglied
- Knoten
- Modul
- Thema
- Verzögerung anfordern
Und Exploit-Modus, um Schwachstellen zu überprüfen.
Sie können es starten, indem Sie es mit einem Python- oder Docker-Image installieren.
SUCURI
SUCURI SiteCheck ist ein allgemeiner Sicherheitsscanner, mit dem Sie schnell herausfinden können, ob Ihre Drupal-Website mit bekannter Malware infiziert ist, über veraltete Software verfügt, auf der schwarzen Liste steht und ein beliebter Website-Fehler vorliegt. Nichts Spezifisches für Drupal, aber es lohnt sich, jede Internetseite zu scannen.
SUKURI bietet auch kontinuierliche Sicherheit für Drupal Websites zum Schutz und zur Beschleunigung.

Sein umfassender Schutz vor Angreifern/Hackern und DDoS-Angriffen für kleine bis große Unternehmen.
Hacker Target
Ein kostenloses Online passiver Scan um den Basistest für Folgendes durchzuführen.
- Identifizieren Sie Design, Plugins und iFrame
- Client-seitige JavaScript-Dateien anzeigen
- Erkennen Sie die Drupal-Version und prüfen Sie, ob diese anfällig ist
- Überprüfen Sie, ob die URL von Google auf der schwarzen Liste steht
- Überprüfen Sie, ob die Verzeichnisindizierung aktiviert ist
Es ist kein umfassender Test, aber für den Anfang gut.
Acunetix
Ein unternehmensfähiger Cloud-basierter Scanner zum Erkennen von Schwachstellen in CMS, einschließlich Drupal. Acunetix erkennt das Sicherheitsrisiko gegen OWASP Top 10 und bekannte Online-Schwachstellen mit mehr als 500 Arten von Angriffen.

Wenn Sie Drupal in einer großen Organisation verwenden, in der Sie den Compliance-Bericht einreichen müssen, sind Sie abgesichert. Sie können PCI-DSS-, HIPAA- usw. Compliance-Berichte über das Dashboard erstellen.
Sie bieten eine 14-tägige Testversion an, also probieren Sie es aus. Sie können ihren Online-Scanner auswählen, sodass Sie nichts auf Ihrem Server installieren müssen.
Sqreen
Sqreen Scanner ist nicht gerade auf Drupal ausgerichtet, aber auf jede moderne Anwendung oder jeden Online-Shop anwendbar, um einige der folgenden häufigen Schwachstellenangriffe zu finden.
- SQL-Injection
- Cross-Site-Skripting
- MIME schnüffelt
- Daten in einer Kommunikation manipulieren
- Clickjacking
- DDoS
Update: Sqreen wurde von Datadog übernommen
Detectify
Testen Sie mit auf über 1000 Schwachstellen Erkenne. Nicht nur Drupal, sondern Sie können auch andere Plattformen (WordPress, Joomla, JavaScript, PHP usw.) testen.

Sie können es KOSTENLOS starten, um ein vollständiges Website-Sicherheitsaudit durchzuführen. Schauen Sie sich meinen vorherigen Blog-Beitrag an Erste Schritte mit Detectify.
Das Gute an Detectify ist, dass Sie einen umsetzbaren Bericht erhalten, der einfach zu befolgen ist, um das Risiko schneller zu mindern.
Ich hoffe, die oben genannten Tools helfen Ihnen, Sicherheitsrisiken auf Ihrer Drupal-Site zu finden, damit Sie sie beheben können, bevor sie jemand missbraucht. Bleiben Sie gesichert!