Wie finde ich Sicherheitslücken in Drupal CMS (Content Management System)?

Drupal ist das drittgrößte Open-Source-CMS, das mit a verwendet wird Marktanteil von mehr als 4.5%. Es gibt fast eine Million Websites, die von ihnen betrieben werden, was mehr als genug ist, um anzulocken ein Angreifer und Hacker.

Wenn Sie Drupal für Ihre Website verwenden und sich nicht sicher sind, ob es vor bekannten Sicherheitslücken geschützt ist, keine vertraulichen Informationen preisgibt, eine Fehlkonfiguration aufweist usw., dann helfen Ihnen die folgenden Tools.

Bereit zu erkunden?

Machen wir das.

Droopescan

Droopescan ist ein Python-basierter Scanner, der Sicherheitsforschern hilft, grundlegende Risiken in der installierten Version von Drupal zu finden. Es gibt die folgenden vier Hauptprüfungen, die von diesem winzigen Programm durchgeführt werden.

  1. Plugins
  2. WordPress Themes
  3. Versionen
  4. Spezielle URL (Admin, Readme, Changelog usw.)
root@wp:~/droopescan# droopescan scan drupal -u http://bloggerflare.com
[+] No themes found.                                                            
[+] Possible interesting urls found:
    Default admin - http://bloggerflare.com/user/login
[+] Possible version(s):
    8.5.0
    8.5.0-alpha1
    8.5.0-beta1
    8.5.0-rc1
    8.5.1
    8.5.2
    8.5.3
    8.5.4
    8.5.5
    8.5.6
[+] No plugins found.
[+] Scan finished (0:03:32.286747 elapsed)

Sie haben es vielleicht bemerkt; dass dies kein Online-Scanner ist, also müssen Sie Python installieren und den Code auf Ihrem Server klonen, um den Test auszuführen.

Sie können einen Test für mehrere URLs gleichzeitig durchführen, und die Ergebnisse werden auf dem Terminal angezeigt. Droopescan kann auch mit WordPress, Joomla, Moodle und SilverStripe arbeiten. Aber für WordPress würde ich empfehlen, dies zu überprüfen Liste des Scanners.

Pentest-Tools

Drupal-Schwachstellen-Scan von Pentest-Tools ist ein Online-Scanner, mit dem Sie die Sicherheit Ihrer Site überprüfen können, um Schwachstellen in Plugins, Konfigurationen und Kerndateien herauszufinden.

Drupal-Schwachstellen-Scanner

Die Scanergebnisse sind gut erklärt und Sie haben die Möglichkeit, sie im PDF-Format abzurufen. Sie benötigen 50 Credits, um dieses Tool auszuführen.

Drupwn

Ein Python-basiertes Dienstprogramm zum Auflisten und Ausnutzen von Drupal 6- und 8-Versionen. Du kannst rennen Drupwn in zwei Modi.

Aufzählung, um Folgendes zu überprüfen.

  • Cookies
  • User-agent
  • Protokollierung
  • Mitglied
  • Knoten
  • Modul
  • Thema
  • Verzögerung anfordern

Und Exploit-Modus, um Schwachstellen zu überprüfen.

Sie können es starten, indem Sie es mit einem Python- oder Docker-Image installieren.

SUCURI

SUCURI SiteCheck ist ein allgemeiner Sicherheitsscanner, mit dem Sie schnell herausfinden können, ob Ihre Drupal-Website mit bekannter Malware infiziert ist, über veraltete Software verfügt, auf der schwarzen Liste steht und ein beliebter Website-Fehler vorliegt. Nichts Spezifisches für Drupal, aber es lohnt sich, jede Internetseite zu scannen.

SUKURI bietet auch kontinuierliche Sicherheit für Drupal Websites zum Schutz und zur Beschleunigung.

drupal-sucuri

Sein umfassender Schutz vor Angreifern/Hackern und DDoS-Angriffen für kleine bis große Unternehmen.

Hacker Target

Ein kostenloses Online passiver Scan um den Basistest für Folgendes durchzuführen.

  • Identifizieren Sie Design, Plugins und iFrame
  • Client-seitige JavaScript-Dateien anzeigen
  • Erkennen Sie die Drupal-Version und prüfen Sie, ob diese anfällig ist
  • Überprüfen Sie, ob die URL von Google auf der schwarzen Liste steht
  • Überprüfen Sie, ob die Verzeichnisindizierung aktiviert ist

Es ist kein umfassender Test, aber für den Anfang gut.

Acunetix

Ein unternehmensfähiger Cloud-basierter Scanner zum Erkennen von Schwachstellen in CMS, einschließlich Drupal. Acunetix erkennt das Sicherheitsrisiko gegen OWASP Top 10 und bekannte Online-Schwachstellen mit mehr als 500 Arten von Angriffen.

acunetix-issue-tracker

Wenn Sie Drupal in einer großen Organisation verwenden, in der Sie den Compliance-Bericht einreichen müssen, sind Sie abgesichert. Sie können PCI-DSS-, HIPAA- usw. Compliance-Berichte über das Dashboard erstellen.

Sie bieten eine 14-tägige Testversion an, also probieren Sie es aus. Sie können ihren Online-Scanner auswählen, sodass Sie nichts auf Ihrem Server installieren müssen.

Sqreen

Sqreen Scanner ist nicht gerade auf Drupal ausgerichtet, aber auf jede moderne Anwendung oder jeden Online-Shop anwendbar, um einige der folgenden häufigen Schwachstellenangriffe zu finden.

  • SQL-Injection
  • Cross-Site-Skripting
  • MIME schnüffelt
  • Daten in einer Kommunikation manipulieren
  • Clickjacking
  • DDoS

Update: Sqreen wurde von Datadog übernommen

Detectify

Testen Sie mit auf über 1000 Schwachstellen Erkenne. Nicht nur Drupal, sondern Sie können auch andere Plattformen (WordPress, Joomla, JavaScript, PHP usw.) testen.

erkennen-cms-scan

Sie können es KOSTENLOS starten, um ein vollständiges Website-Sicherheitsaudit durchzuführen. Schauen Sie sich meinen vorherigen Blog-Beitrag an Erste Schritte mit Detectify.

Das Gute an Detectify ist, dass Sie einen umsetzbaren Bericht erhalten, der einfach zu befolgen ist, um das Risiko schneller zu mindern.

Ich hoffe, die oben genannten Tools helfen Ihnen, Sicherheitsrisiken auf Ihrer Drupal-Site zu finden, damit Sie sie beheben können, bevor sie jemand missbraucht. Bleiben Sie gesichert!