Beschreibung
Drupal Sicherheitsprüfung
Technische Details
Dies ist eine benutzerdefinierte Sicherheitsprüfung, die alle Sicherheitsprüfungen implementiert, die von bekannten Drupal-Scannern wie CMSMap oder Droopescan durchgeführt werden, aber auch neue Sicherheitstests hinzufügt.
Die Liste der vom Drupal-Schwachstellenscanner durchgeführten Tests umfasst:
- Fingerabdruck der Serversoftware und -technologie erstellen
- Fingerabdruck der Drupal-Installation erstellen
- Auffinden installierter Drupal-Module
- Auffinden des aktuellen Drupal-Theme
- Suchen nach Schwachstellen, die die aktuelle Drupal-Version betreffen
- Auflistung der sichtbaren Verzeichniseinträgen
- Auffinden und Prüfung Standardinstallationsdateien
- Überprüfen der Kommunikationssicherheit (HTTPS-Einstellungen)
- Prüfen der Benutzeraufzählung mit dem Views-Modul
- Prüfen der Benutzererkennung mit “Passwort vergessen Funktion”
- Überprüfen, ob die Anmeldeseite zugänglich ist
- Überprüfen, ob die Benutzerregistrierung aktiviert ist
Parameterbeschreibung
Ziel-URL Dies ist die URL der Drupal-Website, die gescannt wird. Alle URLs müssen mit http oder https beginnen. Vergessen Sie nicht, den vollständigen Pfad zum Basisverzeichnis der Drupal-Installation (falls vorhanden) anzugeben, z.B. http://targetdrupal.com/path/.
Wie es funktioniert
Der Prüfer führt eine Reihe von passiven und aktiven Prüfungen durch, um die Drupal-Version, Module, Themen und die aktuelle Systemkonfiguration zu identifizieren.
Darüber hinaus werden die Schwachstellen des Drupal-Kerns aus einer lokalen Datenbank extrahiert, die regelmäßig mit den neuesten Schwachstellen aktualisiert wird, die Drupal betreffen. Die Schwachstellen werden entsprechend der identifizierten Drupal-Version gemeldet.