Топ-100

Поиск

q1eNGq4s_400x400 сканер-безопасности-joomla-для-обеспечения-безопасности-и-безопасности-веб-сайт | bezopasnost | материалы

Сканер безопасности Joomla

 

 

Joomla - вторая популярная CMS для сайта с 6,7% доли рынка и роста.

Неправильно сконфигурированный / усиленный сервер Joomla может быть уязвим для многих, включая удаленное выполнение кода, SQL Injection, межсайтовый скриптинг, утечку информации и т. Д.

Безопасность так же важна, как дизайн и контент сайта, но мы часто игнорируем это, пока не окажут негативное влияние.

joomla-market-share сканер-безопасности-joomla-для-обеспечения-безопасности-и-безопасности-веб-сайт | bezopasnost | материалы

Безопасность - это технологический цикл, который всегда следует выполнять в отношении веб-приложений. В этой статье я расскажу о инструментах для сканирования веб-сайта Joomla для уязвимости для защиты от зла.

Инструменты сканирования безопасности Joomla

MyJoomla

MyJoomla - это многофункциональный инструмент Joomla Management, в котором вы можете обеспечить безопасность, обновление, мониторинг и управление. Это плагин, поэтому вы должны установить его на свой веб-сайт Joomla, чтобы начать аудит.

My Joomla - это специальное решение Joomla для аудита содержимого каждого файла и уведомляет его в случае любого риска.

Это услуга на основе подписки, но первая проверка БЕСПЛАТНА,поэтому вы можете попытаться увидеть, как вам это нравится.

После установки плагина и добавления своего сайта в MyJoomla вы можете получить аудит за менее чем 5 минут.

Вот как выглядит мой отчет аудита тестового сайта.

SiteGuarding

SiteGuarding - это облачный сканер безопасности веб-сайтов, который также предоставляет расширение Joomla для анализа вашего сайта.

В бесплатной версии расширения вы получите следующее.

  • Сканировать до 500 файлов
  • Ежедневное обновление вирусной базы
  • Составление отчетов
  • Одно сканирование в день
  • Эвристическая логика

Хакерская цель

Проверка безопасности Joomla от Hacker Target имеет два варианта.

Пассивное сканирование - это БЕСПЛАТНОЕ сканирование, и оно делает следующее.

  • Безопасный просмотр в Google
  • Поиск индекса каталога
  • Внешняя ссылка и их репутация в Интернете
  • Список внешних iFrames, JavaScript
  • Поиск геолокации и веб-хостинга

Агрессивное , активное сканирование - для этого требуется членство и проверка агрессии для обнаружения известных эксплойтов и уязвимостей в темах , расширениях, модулях, компонентах и ​​ядре Joomla.

hacker-target сканер-безопасности-joomla-для-обеспечения-безопасности-и-безопасности-веб-сайт | bezopasnost | материалы

Обнаружение

Detectify - это сканер Enterprise SaaS для всестороннего аудита сайта с более чем 500 уязвимостями, включая OWASP top 10.

Detectify выполняет проверки безопасности на CMS, таких как Joomla, WordPress , Drupal и т. Д., Чтобы обеспечить защиту определенныхуязвимостей CMS .

Вы можете начать его БЕСПЛАТНО .

JAMSS

JAMSS (скрипт сканирования Joomla Anti Malware) - это скрипт, который вы должны установить в корневом каталоге вашего сайта.

Установка скриптов - это не что иное, как загрузка файла, jamss.phpобщего для вашего веб-корня. JAMSS идентифицируют типичные отпечатки пальцев, следы, которые могли быть скомпрометированы.

Скрипт ничего не делает и доступ к отчету сканирования; вы просто получаете доступ к yourwebsite.com/jamss.php

Например: http://chandan.io/jamss.php

SUCURI

Проверка сайта с помощью SUCURI проверяет наличие известных вредоносных программ, «черный список», «СПАМ», «Очищение» и дает вам информацию о веб-сервере, ссылках и включенных сценариях.

SUCURI-SiteCheck сканер-безопасности-joomla-для-обеспечения-безопасности-и-безопасности-веб-сайт | bezopasnost | материалы

Проверка безопасности

Расширение проверки безопасности защищает ваш сайт от более чем 90шаблонов атак и имеет встроенную проверку уязвимости для проверки установленных расширений для любого риска безопасности.

Joomscan

Joomscan - один из самых популярных инструментов с открытым исходным кодом, который поможет вам найти известные уязвимости Joomla Core, Components и SQL Injection, выполнение команд. Есть два способа добиться этого.

  1. Загрузите с сайта OWASP и установите на свой ПК
  2. Используйте Kali Linux, который поставляется с более чем 600 инструментами, включая Joomscan

После того, как вы установили Joomscan, вы можете запустить его на сайте Joomla для проверки уязвимости.

#. / joomscan -u http://joomlawebsite.com

Ex, я выполнил свой тестовый сайт.

root @ Chandan : ~ # joomscan -oh -u http://techpostal.com
.. | '' || «|| '||' '|' | . | ''». | '||' '|.  
. |» || «|. «|. «. ||| || .. '|| ||
|| || || || | | || '' |||. || ... |»
«|. || ||| ||| . '' '' |. , «|| ||      
'' | ... |» | | . |. . ||. | '.... |' . ||.  
================================================== ===============
OWASP Joomla! Сканер уязвимостей v0.0.4  
c) Аунг Хант, аунхант] в [yehg.net
Группа этических хакеров YGN, Мьянма, http://yehg.net/lab
Обновление от: Веб-центра, http://web-center.si (2011)
================================================== ===============
Записи об уязвимости: 611
Последнее обновление: 2 февраля 2012 г.
Используйте опцию «обновление» для обновления базы данных
Используйте опцию «проверить», чтобы проверить обновление сканера
Используйте опцию «загрузить», чтобы загрузить пакет последней версии сканера
Используйте svn co для обновления сканера и базы данных
svn co https://joomscan.svn.sourceforge.net/svnroot/joomscan joomscan
Цель: http://techpostal.com
Сервер: Apache
X-Powered-By: PHP / 5.4.45
## Проверка того, была ли цель развернута мера антисканера
[!] Сканирование пройдено ..... OK
## Обнаружение Joomla! брандмауэр ...
[!] Неизвестный брандмауэр обнаружен!
## Выполняется отпечаток пальца ...
Использование неинициализированного значения в соответствии с шаблоном (m //) в строке ./joomscan.pl 1009.
~ Невозможно обнаружить версию. Он уверен, что Joomla?
## Фингерпринт сделан.
Обнаружены уязвимости
==========================
# 1
Info -> Generic: htaccess.txt не был переименован.
Версии, затронутые: Любые
Проверьте: /htaccess.txt
Exploit: Общие защиты, реализованные в .htaccess, недоступны, поэтому эксплуатация с большей вероятностью будет успешной.
Уязвимые? да
# 2
 Информация -> Общий: незащищенный каталог администратора
Версии, затронутые: Любые
Проверьте: / administrator /
Exploit: обнаружен каталог по умолчанию / администратора. Атакующие могут выполнять брандмауэр-учетные записи администратора. Читайте: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf
Уязвимые? да
# 3
Info -> Core: множественная уязвимость XSS / CSRF
Поправленные версии: 1.5.9 <=
Проверьте: /?1.5.9-x
Exploit: В приложении администратора существует серия ошибок XSS и CSRF. К уязвимым компонентам администратора относятся com_admin, com_media, com_search. И com_admin, и com_search содержат уязвимости XSS, а com_media содержит 2 уязвимости CSRF.  
Уязвимые? N / A
# 4
 Информация -> Ядро: уязвимость, связанная с раскрытием SSL-сеанса JSession
Выполнены версии: Joomla! 1,5,8 <=
Проверьте: /?1.5.8-x
Exploit: при запуске сайта под SSL (весь сайт вынужден находиться под ssl), Joomla! не устанавливает флаг SSL в файл cookie. Это может позволить кому-то контролировать сеть, чтобы найти файл cookie, связанный с сеансом.
Уязвимые? N / A
# 5
Info -> Core: Уязвимость Frontend XSS
Выполненные версии: 1.5.10 <=
Проверьте: /?1.5.10-x
Exploit: некоторые значения были выведены из базы данных без надлежащего экранирования. Большинство строк, о которых идет речь, были получены из панели администратора. Вредоносный нормальный администратор может использовать его для доступа к супер-администратору.
Уязвимые? N / A
# 6
Info -> Core: Frontend XSS - HTTP_REFERER не фильтруется надлежащим образом Уязвимость
Выполненные версии: 1.5.11 <=
Проверьте: /?1.5.11-x-http_ref
Exploit: злоумышленник может вводить код JavaScript или DHTML, который будет выполняться в контексте целевого пользовательского браузера, позволяя злоумышленнику украсть файлы cookie. Переменная HTTP_REFERER неправильно обрабатывается.
Уязвимые? N / A
# 7
Info -> Core: Frontend XSS - PHP_SELF неправильно фильтруется Уязвимость
Выполненные версии: 1.5.11 <=
Проверьте: /?1.5.11-x-php-s3lf
Exploit: злоумышленник может ввести код JavaScript в URL-адрес, который будет выполнен в контексте целевого пользовательского браузера.
Уязвимые? N / A
# 8
Info -> Core: Уязвимость обхода аутентификации
Выполнены версии: Joomla! 1.5.3 <=
Проверьте: / administrator /
Exploit: Backend принимает любой пароль для пользовательского супер администратора при включенном LDAP
Уязвимые? N / A
# 9
Информация -> Ядро: Уязвимость распространения пути
Выполнены версии: Joomla! 1.5.3 <=
Проверьте: /?1.5.3-path-disclose
Exploit: Созданный URL-адрес может раскрывать абсолютный путь
Уязвимые? N / A
# 10
Info -> Core: пользователь перенаправил уязвимость спама
Выполнены версии: Joomla! 1.5.3 <=
Проверьте: /?1.5.3-spam
Exploit: переадресация пользователей
Уязвимые? N / A
# 11
Info -> Core: Уязвимость в защите от перекрестных ссылок для сторонних сайтов
Выполненные версии: 1.0.13 <=
Проверьте: / administrator /
Exploit: требуется, чтобы администратор был зарегистрирован и был обманут на специально созданной веб-странице.
Уязвимые? N / A
# 12
Info -> CoreComponent: Уязвимость SQL Injection com_content
Версия затронута: Joomla! 1.0.0 <=
Проверьте: / components / com_content /
Exploit: /index.php?option=com_content&task=blogcategory&id=60&Itemid=99999+UNION+SELECT+1,concat(0x1e_username,0x3a,password,0x1e,0x3a,usertype,0x1e),3,4,5+FROM+ jos_users + куда UserType = 0x53757065722041646d696e6973747261746f72--
Уязвимые? нет
# 13
Info -> CoreComponent: com_search Уязвимость удаленного выполнения кода
Версия затронута: Joomla! 1,5,0 бета 2 <=
Проверьте: / components / com_search /
Exploit: /index.php?option=com_search&Itemid=1&searchword=%22%3Becho%20md5(911)%3B
Уязвимые? нет
# 14
Info -> CoreComponent: Уязвимость MailTo SQL Injection
Выполненные версии: N / A
Проверьте: / components / com_mailto /
Exploit: /index.php?option=com_mailto&tmpl=mailto&article=550513+and+1=2+union+select+concat(username,char(58),password)+from+jos_users+where+usertype=0x53757065722041646d696e6973747261746f72--&Itemid= 1
Уязвимые? нет
# 15
Info -> CoreComponent: com_content Уязвимость от слепого SQL-инъекции
Выполнены версии: Joomla! 1.5.0 RC3
Проверьте: / components / com_content /
Exploit: /index.php?option=com_content&view=% '+' a '=' a & id = 25 & Itemid = 28
Уязвимые? нет
# 16
Info -> CoreComponent: com_content XSS Уязвимость
Версия затронута: Joomla! 1,5,7 <=
Проверьте: / components / com_content /
Exploit: По умолчанию в представлении статьи com_content допускается запись опасных HTML-тегов (сценарий и т. Д.). Это касается только пользователей с авторизацией уровня доступа или выше и только если вы не задали параметры фильтрации в конфигурации com_content.
Уязвимые? N / A
# 17
Info -> CoreComponent: com_mailto Уязвимость почтового спама
Версия затронута: Joomla! 1.5.6 <=
Проверьте: / components / com_mailto /
Exploit: компонент mailto не проверяет правильность URL до отправки.
Уязвимые? N / A
# 18
Info -> CoreComponent: com_content view = архив Уязвимость SQL Injection
Выполнены версии: Joomla! 1.5.0 Beta1 / Beta2 / RC1
Проверьте: / components / com_content /
Exploit: Unfiltered POST vars - фильтр, месяц, год до /index.php?option=com_content&view=archive
Уязвимые? нет
# 19
Info -> CoreComponent: com_content XSS Уязвимость
Версия затронута: Joomla! 1,5,9 <=
Проверьте: / components / com_content /
Exploit: уязвимость XSS существует в представлении категории com_content.
Уязвимые? N / A
# 20
Info -> CoreComponent: уязвимость com_users XSS
Версия затронута: Joomla! 1.5.10 <=
Проверьте: / components / com_users /
Exploit: уязвимость XSS существует в представлении пользователя com_users пользователя на панели администратора.
Уязвимые? N / A
# 21
Info -> CoreComponent: com_installer CSRF Уязвимость
Выполнены версии: Joomla! 1.5.0 Beta
Проверьте: / administrator / components / com_installer /
Эксплуатация: N / A
Уязвимые? N / A
# 22
Info -> CoreComponent: com_search Уязвимость памяти Comsumption DoS
Выполнены версии: Joomla! 1.5.0 Beta
Проверьте: / components / com_search /
Эксплуатация: N / A
Уязвимые? нет
# 23
Info -> CoreComponent: com_banners Уязвимость от слепого SQL-инъекции
Выполненные версии: N / A
Проверьте: / components / com_banners /
Exploit: /index.php?option=com_banners&task=archivesection&id=0'+and+'1'='1::/index.php?option=com_banners&task=archivesection&id=0'+and+'1'='2
Уязвимые? нет
# 24
Info -> CoreComponent: com_mailto timeout Уязвимость
Выполненные версии: 1.5.13 <=
Проверьте: / components / com_mailto /
Exploit: [Требуется действительная учетная запись пользователя] В com_mailto можно было обойти защиту тайм-аута от отправки автоматических писем.
Уязвимые? N / A

Как вы можете видеть выше в результатах, он сканирует более 20 уязвимостей и сообщает вам, есть ли какие-либо файлы, чтобы вы могли исправить и защитить Joomla .

Надеюсь, что выше инструменты помогут вам сканировать Joomla для уязвимостей и обеспечить безопасность и безопасность вашего сайта. Вот некоторые из полезных ресурсов, которые помогут вам быть в курсе безопасности.

Комментарии (0)

There are no comments posted here yet

Оставьте свой комментарий

Posting comment as a guest.
Вложения (0 / 3)
Share Your Location