Сам я користувався лише деякими форумними движками, тому й мало знаю про них. А досліджував безпеку цих движків лише трохи, зокрема IPB (про що можна дізнатися з мого MustLive Security Pack), тому мало знаю про рівень безпеки тих чи інших движків (окрім тих, що використовую). Тому оптимальним варіантом є дослідження багтреків по тим форумним движкам, що цікавлять. З власного досвіду (а також з багтреків) знаю, що дірок в цих движках вистачає .

Виходячи з досвіду користування движком IPB можу сказати, що він є більш-менш безпечним (в порівнянні з деякими іншими, зокрема з phpBB, який я відношу до недостатньо безпечних движків). Особливо, якщо використовувати патчі для IPB від мене чи розробників.

Зазначу, що XSS дірку, про яку я їм написав, вони виправили оперативно, не забувши мені подякувати, що характеризує їх з позитивної сторони. Виправили вони дірку в останніх версіях движка, тому для користувачів старих версій варто використати мої патчі. Враховучи стан справ з підтримкою та виправленням движка, нова 2.x версія є більш безпечною і бажаною для використання, ніж стара 1.x.

vBulletin, наприклад, нічого?

Про vBulletin особливо нічого не знаю, так як ним не користувався, але з інформації про дірки в vBulletin (з мого багтреку) видно, що дірок в ньому вистачає. Пошук по багтрекам по діркам в тому чи іншому двигуні дозволяє зробити попередні висновки про його рівень безпеки - цей метод можна використати для будь-якого форуму чи іншого веб додатку. При цьому потрібно оцінювати як кількість і небезпеку дірок, так і швидкість їх виправлення по офіційним даним.

Доводилось хакать форумы на IPB через XSS и SQL Injection уязвимости. В том числе сам находил уязвимости в даном движке, в частности XSS в Invision Power Board (причём persistent XSS). Которую можно использовать для атаки через посты на форумах, в том числе через аватары и подписи.

Данную уязвимость, после моего уведомления, разработчики оперативно исправили в пачте для IPB 2.3.x. До этого я выпустил собственные исправления для разных версий движка в MustLive Security Pack v.1.0.6. Поэтому в целом этот движок выглядит достаточно безопасным (особенно если использовать мои или девелоперские патчи).