English English French French Spanish Spanish German German
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
Partager sur:

8 Drupal Security Scanner pour trouver des vulnérabilités

scanner de sécurité drupal
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Comment trouver les vulnérabilités de sécurité dans Drupal CMS (Content Management System)?

Drupal est le troisième plus grand CMS open source utilisé avec un part de marché de plus de 4.5%. Il existe près d'un million de sites alimentés par eux, ce qui est plus que suffisant pour attirer un attaquant et un hacker.

Si vous utilisez Drupal pour votre site Web et que vous ne savez pas s'il est protégé contre les vulnérabilités connues, s'il n'expose pas d'informations sensibles, s'il est mal configuré, etc., les outils suivants vous aideront.

Prêt à explorer?

Faisons le.

Droopescan

Droopescan est un scanner basé sur python pour aider les chercheurs en sécurité à trouver les risques de base dans la version installée de Drupal. Il y a les quatre vérifications principales suivantes effectuées par ce petit programme.

  1. Extensions
  2. Thèmes
  3. versions
  4. URL spéciale (admin, readme, changelog, etc.)
root@wp:~/droopescan# droopescan scan drupal -u http://bloggerflare.com
[+] No themes found.                                                            
[+] Possible interesting urls found:
    Default admin - http://bloggerflare.com/user/login
[+] Possible version(s):
    8.5.0
    8.5.0-alpha1
    8.5.0-beta1
    8.5.0-rc1
    8.5.1
    8.5.2
    8.5.3
    8.5.4
    8.5.5
    8.5.6
[+] No plugins found.
[+] Scan finished (0:03:32.286747 elapsed)

Vous avez peut-être réalisé; qu'il ne s'agit pas d'un scanner en ligne, vous devez donc installer Python et cloner le code sur votre serveur pour exécuter le test.

Vous pouvez effectuer un test sur plusieurs URL simultanément et les résultats sont affichés sur le terminal. Droopescan peut également fonctionner avec WordPress, Joomla, Moodle et SilverStripe. Mais pour WordPress, je recommanderais de vérifier ceci liste du scanner.

Pentest-Tools

Analyse de vulnérabilité Drupal par Outils Pentest est un scanner en ligne où vous pouvez auditer la sécurité de votre site pour découvrir les vulnérabilités dans les plugins, la configuration et les fichiers principaux.

Drupal-vulnerability-scanner

Les résultats de l'analyse sont bien expliqués et vous avez la possibilité de l'obtenir au format PDF. Vous avez besoin de 50 crédits pour exécuter cet outil.

Drupwn

Un utilitaire basé sur python pour effectuer une énumération et une exploitation contre les versions Drupal 6 et 8. Tu peux courir Drupwn en deux modes.

Énumération pour vérifier ce qui suit.

  • Cookies
  • User-agent
  • Journal
  • Utilisateur
  • Nœud
  • Module
  • thème
  • Délai de demande

Et, exploitez le mode pour vérifier les vulnérabilités.

Vous pouvez le démarrer en installant à l'aide d'une image Python ou Docker.

SUCURI

Vérification du site SUCURI est un scanner de sécurité général pour savoir rapidement si votre site Drupal est infecté par des logiciels malveillants connus, s'il contient des logiciels obsolètes, s'il est sur liste noire et s'il existe une erreur de site Web populaire. Rien de spécifique à Drupal mais cela vaut la peine de scanner n'importe quel site Internet.

SUCURI fournit aussi sécurité continue pour Drupal sites à protéger et à accélérer.

drupal-sucuri

Sa protection complète contre les attaquants/pirates et les attaques DDoS pour les petites et grandes entreprises.

Hacker Target

Un en ligne gratuit scan passif pour effectuer le test de base sur les éléments suivants.

  • Identifier le thème, les plugins et l'iFrame
  • Afficher les fichiers JavaScript côté client
  • Détectez la version de Drupal et vérifiez si elle est vulnérable
  • Vérifiez si l'URL est sur liste noire par Google
  • Vérifiez si l'indexation d'annuaire est activée

Ce n'est pas un test complet mais bon pour commencer.

Acunetix

Un scanner basé sur le cloud prêt pour l'entreprise pour détecter les vulnérabilités dans les CMS, y compris Drupal. Acunetix détecte le risque de sécurité contre Top 10 de l'OWASP et des vulnérabilités en ligne connues avec plus de 500 types d'attaques.

acunetix-issue-tracker

Et, si vous utilisez Drupal dans une grande organisation où vous devez soumettre le rapport de conformité, vous êtes couvert. Vous pouvez générer des rapports de conformité réglementaire PCI DSS, HIPAA, etc. à partir de leur tableau de bord.

Ils offrent un essai de 14 jours, alors allez-y et essayez-le. Vous pouvez choisir leur scanner en ligne, vous n'avez donc rien à installer sur votre serveur.

Sqreen

Le scanner Sqreen n'est pas exactement ciblé pour Drupal mais applicable à toute application moderne ou boutique en ligne pour trouver certaines des attaques de vulnérabilités courantes suivantes.

  • Injection SQL
  • Script inter-site
  • Reniflage MIME
  • Falsification des données dans une communication
  • Clickjacking
  • DDoS

Mettre à jour: Sqreen a été racheté par Datadog

Detectify

Testez plus de 1000 vulnérabilités avec Detectify. Pas seulement Drupal, mais vous pouvez également tester d'autres plates-formes (WordPress, Joomla, JavaScript, PHP, etc.).

detectify-cms-scan

Vous pouvez le démarrer GRATUITEMENT pour effectuer un audit complet de la sécurité du site Web. Consultez mon article de blog précédent sur démarrer avec Detectify.

La bonne chose à propos de Detectify est que vous obtenez un rapport exploitable qui est facile à suivre pour atténuer le risque plus rapidement.

J'espère que les outils ci-dessus vous aideront à trouver les risques de sécurité dans votre site Drupal afin que vous puissiez les corriger avant que quelqu'un ne les utilise à mauvais escient. Restez en sécurité !

Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder