个性化阅读
专注于IT技术分析
        找回密码
当前位置:srcmini > 网络安全技术 > 正文

8个Drupal安全扫描程序来查找漏洞

2020-04-19 02:46:51 分类:网络安全技术 阅读(2176) 评论(0)

本文概述

如何在Drupal CMS(内容管理系统)中查找安全漏洞?

Drupal是使用的第三大开源CMS, 市场份额超过4.5%。由他们提供支持的网站将近一百万个, 足以吸引攻击者和黑客。

如果你将Drupal用于你的网站, 并且不确定该网站是否不受已知漏洞的影响, 没有公开敏感信息, 配置错误等, 那么以下工具将为你提供帮助。

准备探索吗?

我们开始做吧。

Droopescan

Droopescan是基于python的扫描程序, 可帮助安全研究人员在已安装的Drupal版本中查找基本风险。这个小程序完成以下四个主要检查。

  1. 外挂程式
  2. 主题
  3. 版本
  4. 特殊网址(管理员, 自述文件, 变更日志等)
[email protected]:~/droopescan# droopescan scan drupal -u http://bloggerflare.com
[+] No themes found.                                                            
[+] Possible interesting urls found:
    Default admin - http://bloggerflare.com/user/login
[+] Possible version(s):
    8.5.0
    8.5.0-alpha1
    8.5.0-beta1
    8.5.0-rc1
    8.5.1
    8.5.2
    8.5.3
    8.5.4
    8.5.5
    8.5.6
[+] No plugins found.
[+] Scan finished (0:03:32.286747 elapsed)

你可能已经意识到;这不是在线扫描程序, 因此你必须安装Python并在服务器上克隆代码以运行测试。

你可以同时对多个URL进行测试, 结果将显示在终端上。 Droopescan还可以与WordPress, Joomla, Moodle和SilverStripe一起使用。但是对于WordPress, 我建议检查此扫描仪列表。

Pentest-Tools

Pentest-Tools的Drupal漏洞扫描是一种在线扫描程序, 你可以在其中审核站点安全性, 以查找插件, 配置和核心文件中的漏洞。

8个Drupal安全扫描程序来查找漏洞2

扫描结果有很好的解释, 你可以选择以PDF格式获取扫描结果。你需要50个积分才能运行此工具。

Drupwn

一个基于python的实用程序, 用于对Drupal 6和8版本进行枚举和利用。你可以在两种模式下运行Drupwn。

枚举检查以下内容。

  • cookie
  • 用户代理
  • 记录中
  • 用户
  • 节点
  • 模组
  • 主题
  • 请求延迟

并且, 利用漏洞利用模式检查漏洞。

你可以通过使用Python或Docker映像进行安装来启动它。

JUICE

SUCURI SiteCheck是一种常规的安全扫描程序, 可以快速找出你的Drupal网站是否感染了已知的恶意软件, 软件过时, 被列入黑名单以及流行的网站错误。没有Drupal专用, 但是值得扫描任何Internet站点。

SUCURI还为Drupal网站提供持续的安全性, 以保护和加速。

8个Drupal安全扫描程序来查找漏洞4

它针对攻击者/黑客提供了全面的保护, 可针对小型到企业级业务进行DDoS攻击。

Hacker Target

免费的在线被动扫描, 以执行以下基本测试。

  • 识别主题, 插件和iFrame
  • 显示客户端JavaScript文件
  • 取消Drupal版本, 并检查该版本是否易受攻击
  • 检查网址是否已被Google列入黑名单
  • 检查是否启用目录索引

这不是全面的测试, 但是很好的开始。

Acunetix

一种基于企业的基于云的扫描程序, 用于检测CMS中的漏洞, 包括Drupal。 Acunetix通过500多种攻击类型来检测针对OWASP排名前10位和已知在线漏洞的安全风险。

8个Drupal安全扫描程序来查找漏洞6

而且, 如果你在必须提交法规遵从报告的大型组织中使用Drupal, 那么你会受到保护。你可以从其仪表板生成PCI DSS, HIPAA等法规遵从报告。

他们提供14天的试用期, 因此请尝试一下。你可以选择他们的在线扫描仪, 因此无需在服务器上安装任何软件。

Sqreen

Sqreen扫描程序并非完全针对Drupal, 而是适用于任何现代应用程序或在线商店, 以发现以下一些常见的漏洞攻击。

  • SQL注入
  • 跨站脚本
  • MIME嗅探
  • 篡改通信中的数据
  • 点击劫持
  • 拒绝服务

Detectify

使用Detectify测试1000多个漏洞。不仅是Drupal, 你还可以测试其他平台(WordPress, Joomla, JavaScript, PHP等)。

8个Drupal安全扫描程序来查找漏洞8

你可以免费开始使用它来执行完整的网站安全审核。查看我以前的博客文章有关Detectify入门。

Detectify的好处是, 你将获得一份可行的报告, 该报告易于遵循, 可以更快地降低风险。

我希望以上工具可以帮助你在Drupal网站中发现安全风险, 以便你可以在有人滥用它之前进行修复。保持安全!

赞(0)
未经允许不得转载:srcmini » 8个Drupal安全扫描程序来查找漏洞
标签:

相关推荐

评论 抢沙发

评论前必须登录!

 

猜你喜欢

热门标签

网站开发 (2587)WordPress开发 (2055)WordPress主题 (1517)Web开发 (692)主题 (527)数据科学 (444)教程合集 (317)资源合集 (316)函数 (287)页面 (267)python开发 (261)项目示例 (243)WordPress自定义页面 (233)图像 (219)错误 (213)网站 (189)UX设计 (187)Web安全 (179)模板 (178)Web运维 (177)应用程序 (177)WordPress插件 (176)插件 (171)前端开发 (166)算法 (150)woocommerce (149)数据结构 (149)常见问题 (142)设计 (138)原型设计 (138)