2022-10-02 08:57 Temps de lecture : 7 min
Sécurité & Confidentialité

4 outils pour analyser vBulletin à la recherche de vulnérabilités de sécurité

Identifier les points faibles de votre logiciel communautaire vBulletin.

vBulletin se positionne comme un des logiciels de forum les plus répandus, propulsant plus de 100 000 sites web. Toutefois, comme tout outil numérique, il n'est pas exempt de risques et peut présenter des vulnérabilités si des mesures de sécurité adéquates ne sont pas mises en œuvre.

Dans une optique de prévention, il est vivement recommandé de scruter régulièrement votre environnement en ligne à la recherche de faiblesses potentielles, afin de les neutraliser avant qu'elles ne soient exploitées par des acteurs malveillants. Deux approches sont possibles :

  • Manuelle : Réaliser des audits de sécurité à intervalles réguliers.
  • Automatisée : Utiliser un scanner basé sur le cloud pour une surveillance continue et recevoir des alertes en cas de détection d'une vulnérabilité.

Comme vous l'imaginez, l'option automatisée est plus avantageuse.

Pourquoi accorder de l'importance à la sécurité de votre forum ?

On pourrait penser que la sécurité d'un forum n'est pas une priorité, considérant qu'il s'agit simplement d'un espace de discussion entre membres.

Néanmoins, imaginez qu'une entreprise en ligne disposant d'un forum fréquenté par plus d'un million d'utilisateurs néglige sa sécurité et qu'un jour, celui-ci est piraté, entraînant la divulgation des informations personnelles de tous ses membres.

Cela se traduirait par une perte de crédibilité, une érosion de la confiance de la clientèle et un sérieux préjudice à la réputation de l'entreprise.

Examinons maintenant les outils à notre disposition.

VBScan

Un projet initié par l'OWASP.

VBScan est un outil basé sur Perl conçu pour analyser les vulnérabilités spécifiques à vBulletin. Il intègre plus de 70 modules pour identifier divers types de failles.

Son installation est simple et il peut être utilisé quel que soit le système d'exploitation.

  • Téléchargez la version la plus récente disponible sur GitHub.
  • Décompressez le fichier si vous avez téléchargé la source sous format zip.
  • Accédez au dossier nouvellement créé suite à l'extraction du fichier.
  • Attribuez les permissions d'exécution au fichier vbscan.pl.
chmod 755 vbscan.pl

Et le tour est joué !

[email protected]:~/vbscan-0.1.8# ./vbscan.pl
   _  _  ____  ___   ___    __    _  _
  ( / )(  _ / __) / __)  /__  ( ( )
     /  ) _ <__ ( (__  /(__)  )  (
    /  (____/(___/ ___)(__)(__)(_)_)
        (1337.today)
    
     --=[OWASP VBScan
     +---++---==[Version : 0.1.8
     +---++---==[Update Date : [2018/09/13]
     +---++---==[Author : Mohammad Reza Espargham
     +---++---==[Website : www.reza.es
     --=[Code name : Self Challenge
      @OWASP_VBScan , @rezesp , @OWASP


    Usage: 
  	./vbscan.pl <target>
 	./vbscan.pl http://target.com/vbulletin


    Options: 
 	./vbscan.pl --help

[email protected]:~/vbscan-0.1.8#

La mise à jour de VBScan est également facile.

./vbscan.pl --upgrade

CMSScan

CMSScan est un outil qui tire parti des capacités de VBScan. Il propose notamment une fonction de planification très utile si vous souhaitez une solution open source pour effectuer des analyses périodiques et recevoir des rapports par email.

CMSScan ne se limite pas à vBulletin, il permet également de réaliser des tests sur d'autres systèmes de gestion de contenu tels que WordPress, Joomla et Drupal.

Par défaut, l'interface web est accessible sur le port 7070. En y accédant via un navigateur, vous découvrirez une interface conviviale où vous pourrez saisir l'URL à analyser.

[email protected]:~/CMSScan# ./run.sh 
[2019-09-27 19:09:14 +0000] [25590] [INFO] Starting gunicorn 19.9.0
[2019-09-27 19:09:14 +0000] [25590] [INFO] Listening at: http://0.0.0.0:7070 (25590)
[2019-09-27 19:09:14 +0000] [25590] [INFO] Using worker: sync
[2019-09-27 19:09:14 +0000] [25593] [INFO] Booting worker with pid: 25593
[2019-09-27 19:09:14 +0000] [25594] [INFO] Booting worker with pid: 25594
[2019-09-27 19:09:14 +0000] [25595] [INFO] Booting worker with pid: 25595

Analyseur TLS

L'outil TLS Scanner de toptips.fr n'est pas spécifiquement conçu pour vBulletin, mais il est crucial pour vérifier la bonne configuration de votre certificat TLS. Vous pouvez l'utiliser pour tester votre installation vBulletin afin de connaître le protocole TLS utilisé, les algorithmes de chiffrement, les potentielles vulnérabilités web et les détails de votre certificat.

Vous trouverez d'autres scanners SSL/TLS ici.

Invincti

Invincti propose un scanner de sécurité adapté aux besoins des entreprises, disponible en mode auto-hébergé ou via le cloud.

Invincti s'intègre au processus de développement pour assurer une sécurité continue des sites web, qu'ils soient de petite ou grande envergure.

Grâce à leur technologie d'analyse basée sur des preuves, vous pouvez examiner rapidement votre application vBulletin ou d'autres applications web afin d'obtenir des résultats exploitables. Il couvre un large spectre de vulnérabilités web, y compris celles répertoriées dans le top 10 de l'OWASP.

En conclusion

Protéger les actifs en ligne est un défi constant, et il est IMPÉRATIF de réaliser des analyses périodiques de vBulletin ou de toute autre application web afin d'atténuer les risques dès l'apparition de vulnérabilités. Les outils présentés ci-dessus vous aideront à identifier les failles de sécurité. Si vous êtes à la recherche d'une protection de sécurité continue, vous pouvez opter pour le WAF Cloud de SUCURI.

Avez-vous apprécié cet article ? Alors n'hésitez pas à le partager avec vos proches !

Auteur
Sophie Lefèvre
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2025-10-15
Bhoutan : l'identité numérique migre vers Ethereum pour plus de sécurité
L'ambitieux projet d'identité numérique du Bhoutan, conçu pour offrir aux citoyens un moyen d'interaction numérique sécurisé et privé,...
2025-10-04
US Army : des failles de sécurité critiques pour la communication NGC2
L'ambitieux projet de l'armée américaine visant à moderniser son infrastructure de communication sur le champ de bataille, un élément...
2025-10-03
Décès sur Stardust Racers : questions sur la sécurité des attractions à sensations fortes
La mort tragique d'un jeune homme après une attraction au parc à thème Epic Universe d'Universal Orlando a soulevé de sérieuses questions...
2025-09-27
SkinsLuck CS2 : sécurité, transparence et jeu équitable pour les skins
Le paysage numérique du commerce d'actifs virtuels évolue rapidement, les plateformes offrant désormais des moyens sophistiqués aux joueurs...
Article précédent
19 meilleurs générateurs de signatures d'e-mails pour votre entreprise
Article suivant
12 meilleures solutions API de géocodage et de cartes pour vos applications