Loading...

jueves, 3 de junio de 2010

Joomscan y HackerTarget, comprobando la seguridad de tu web Joomla

Bueno, el otro dia un amigo me comento que habia montado una web y que le diera un vistazo. Mirandola un poco vi que la habia basado en Joomla y la curiosidad me llamó y me puse a mirar si tenia vulnerabilidades conocidas o no.


Al principio utilicé algunas tecnicas basicas de SQL Injection y XSS con las que pude comprobar que no tenia agujeros que yo conociera, pero me quedaba la duda de si habia alguna aplicacion gratuita con la que poder comprobar si el sitio era vulnerable o no.


Pues bien, buscando un poco he localizado una aplicacion Perl basada precisamente a buscar vulnerabilidades conocidas en joomla con el objetivo de que, si alguien nos hace una trastada en nuestra web, que por lo menos sea porque el tio es bueno, no un niñatillo con un programa que le ha pasado un colega "jaquer".


La herramienta la teneis en http://sourceforge.net/projects/joomscan/ y el manual de uso lo teneis en http://www.owasp.org/index.php/OWASP_Joomla_Vulnerability_Scanner_Usage.


Esta aplicacion lo que hace es escanear la url que le introduzcamos, mostrandonos todas las vulnerabilidades que tiene en su base de datos y marcandonos si es vulnerable nuestro sitio o no. Los resultados seran del tipo :



Vulnerabilities Discovered


==========================




# 1


Info: Generic: htaccess.txt has not been renamed.


Versions Affected: Any


Check: /htaccess.txt


Exploit: Generic defenses implemented in .htaccess are not available, so exploiting is more likely to succeed.


Vulnerable? ~Yes



Tambien se que algunos de vosotros no controlais nada de perl y que puede convertirse en un autentico engorro el tener que estar instalando perl, que si luego me falta una libreria, que si voy al Ikea a comprarla, que si esto que si lo otro. Si este es vuestro caso, y en el caso de que tengais un dominio propio con vuestra cuenta de correo, una solucion muy buena es la que nos ofrece la web HackerTarget.com ya que nos brinda la posibilidad de rellenando un simple formulario, analizar nuestra web con joomscan y enviarnos un mail a nuestro correo con los resultados del analisis. Y todo esto sin tener que tener el más minimo conocimiento de perl.


El unico inconveniente es que tienes un limite de analisis en el día de manera gratuita, si quieres más tendras que pagar por ello.


Bueno, os dejo el enlace a esta ultima herramienta online: http://hackertarget.com/joomla-security-scan/

1 comentario:

Gio dijo...
Este comentario ha sido eliminado por el autor.

Publicar un comentario en la entrada

Dejanos tu comentario... tanto si te gusta como si no, será bueno para el que venga.

Tambien puede interesarte: