8个Drupal安全扫描程序来查找漏洞

本文概述

Droopescan
Pentest-Tools
Drupwn
JUICE
Hacker Target
Acunetix
Sqreen
Detectify

如何在Drupal CMS(内容管理系统)中查找安全漏洞？
Drupal是使用的第三大开源CMS, 市场份额超过4.5％。由他们提供支持的网站将近一百万个, 足以吸引攻击者和黑客。
如果你将Drupal用于你的网站, 并且不确定该网站是否不受已知漏洞的影响, 没有公开敏感信息, 配置错误等, 那么以下工具将为你提供帮助。
准备探索吗？
我们开始做吧。
Droopescan Droopescan是基于python的扫描程序, 可帮助安全研究人员在已安装的Drupal版本中查找基本风险。这个小程序完成以下四个主要检查。

外挂程式
主题
版本
特殊网址(管理员, 自述文件, 变更日志等)

[email protected]:~/droopescan# droopescan scan drupal -u http://bloggerflare.com [+] No themes found. [+] Possible interesting urls found: Default admin - http://bloggerflare.com/user/login [+] Possible version(s): 8.5.0 8.5.0-alpha1 8.5.0-beta1 8.5.0-rc1 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6 [+] No plugins found. [+] Scan finished (0:03:32.286747 elapsed)

你可能已经意识到；这不是在线扫描程序, 因此你必须安装Python并在服务器上克隆代码以运行测试。
你可以同时对多个URL进行测试, 结果将显示在终端上。 Droopescan还可以与WordPress, Joomla, Moodle和SilverStripe一起使用。但是对于WordPress, 我建议检查此扫描仪列表。
Pentest-Tools Pentest-Tools的Drupal漏洞扫描是一种在线扫描程序, 你可以在其中审核站点安全性, 以查找插件, 配置和核心文件中的漏洞。

文章图片
扫描结果有很好的解释, 你可以选择以PDF格式获取扫描结果。你需要50个积分才能运行此工具。
Drupwn 一个基于python的实用程序, 用于对Drupal 6和8版本进行枚举和利用。你可以在两种模式下运行Drupwn。
枚举检查以下内容。

cookie
用户代理
记录中
用户
节点
模组
主题
请求延迟

并且, 利用漏洞利用模式检查漏洞。
你可以通过使用Python或Docker映像进行安装来启动它。
JUICE SUCURI SiteCheck是一种常规的安全扫描程序, 可以快速找出你的Drupal网站是否感染了已知的恶意软件, 软件过时, 被列入黑名单以及流行的网站错误。没有Drupal专用, 但是值得扫描任何Internet站点。
【8个Drupal安全扫描程序来查找漏洞】SUCURI还为Drupal网站提供持续的安全性, 以保护和加速。

文章图片
它针对攻击者/黑客提供了全面的保护, 可针对小型到企业级业务进行DDoS攻击。
Hacker Target 免费的在线被动扫描, 以执行以下基本测试。

识别主题, 插件和iFrame
显示客户端JavaScript文件
取消Drupal版本, 并检查该版本是否易受攻击
检查网址是否已被Google列入黑名单
检查是否启用目录索引

这不是全面的测试, 但是很好的开始。
Acunetix 一种基于企业的基于云的扫描程序, 用于检测CMS中的漏洞, 包括Drupal。 Acunetix通过500多种攻击类型来检测针对OWASP排名前10位和已知在线漏洞的安全风险。

文章图片
你可以免费开始使用它来执行完整的网站安全审核。查看我以前的博客文章有关Detectify入门。
Detectify的好处是, 你将获得一份可行的报告, 该报告易于遵循, 可以更快地降低风险。
我希望以上工具可以帮助你在Drupal网站中发现安全风险, 以便你可以在有人滥用它之前进行修复。保持安全！