Categorie:


Translate:
Italiano flagInglese flagFrancese flagTedesco flagPortoghese flagSpagnolo flag

OWASP Joomla Vulnerability Scanner

marzo 15th, 2010 by clshack

Joomla, è uno dei cms più usati per creare siti web dinamici che vanno da blog a forum e molto altro grazie a milioni di componenti aggiuntivi che aumentano notevolmente l’ampiezza d’uso di joomla.

Purtroppo joomla per questo è anche uno dei cms presi più di mira da cracker,lamer,script kiddie e gentaglia :D

Esistono perciò parecchi scanner, che individuano le vulnerabilità in questo cms.
Il migliore, il più completo, dal mio punto di vista è:
OWASP Joomla Vulnerability Scanner
Dal sito ufficiale, leggiamo:

Joomla! is probably the most widely-used CMS out there due to its flexibility, user-friendlinesss, extensibility to name a few. So, watching its vulnerabilities and adding such vulnerabilities as KB of Joomla! scanner takes ongoing activity.
It will help web developers and pentesters to help identify published known security weaknesses on their deployed Joomla! sites. No web security scanner is dedicated only one CMS.
To my experience, security testing on Joomla! web application requires pentester to look back the published vulnerabilities and if free, move on to generic testing. If we do only generic testing, we might miss a lot because it needs the knowledge of Joomla! application – its vulnerabilities in what version, what components are vulnerable in what version, what common security mistakes that web masters make …etc.

La sintassi di questo scanner è la seguente:

Usage:  perl joomscan.pl -u  -x proxy:port
        -u       = joomla Url
        ==Optional==
        -x   = proXy to tunnel
        -c       = cookie (name=value;)
        -g ""   = desired useraGent string within "
        -nv              = No Version fingerprinting check
        -nf              = No Firewall detection check
        -nvf/-nfv        = No version+firewall check
        -pe              = Poking version only
                           (and Exit the scanner)
        -ot              = Output to Text file (target-joexploit.txt)
        -oh              = Output to Html file (target-joexploit.htm)
        -vu              = Verbose (output every Url scan)
        -sp              = Show completed Percentage


Ad esempio:
perl joomscan.pl -pv -u SITO_WEB DA SCANSIONARE
Per fare funzionare OWASP Joomla Vulnerability Scanner su ubuntu, dovremo installare anche questo pacchetto:
www-mechanize-perl
Quindi digitiamo:
sudo apt-get install libtest-www-mechanize-perl
Mi raccomando, di fare gli aggiornamenti, prima di scansionare :D
Per aggiornare Joomla Vulnerability Scanner, basta digitare:
perl joomscan.pl update

DOWNLOAD OWASP Joomla Vulnerability Scanner

Buono scanning :D

Altri:

  1. [tutorial]Tool for Vulnerability Identification level WEB
  2. Wapiti: Web application security Scanner
  3. [tutorial]Tool for Vulnerability Identification level Server
  4. WhatWeb, uno Scanner di WebSite di nuova generazione
  5. RATS: Rough Auditing Tool for Security
Tags: , , , ,
Posted in GNU/Linux, Hacking, Software, Windows | 9 Comments »
«
»
You can leave a response, or trackback from your own site.

9 commenti a “OWASP Joomla Vulnerability Scanner”

  1. ov3rload scrive:
    22 marzo 2010 alle 10:59

    Davvero uno strumento niente male. La cosa carina è che ha anche un database aggiornabile! =D

  2. Alessio scrive:
    22 marzo 2010 alle 13:17

    Si ;)

    Grazie mille di avermo ricordato :D
    Mi ero dimenticato di inserirlo nell’articolo :D
    Mi mancano questi tre comandi:

    Update: joomscan.pl update
    This option will check and update the local database if newer version i
    s available.
    Defense: joomscan.pl defense
    This option will give you a defensive note.
    About : joomscan.pl story
    This option will give you a short story about joomscan.

  3. ov3rload scrive:
    22 marzo 2010 alle 19:34

    Eheheh! A dirti la verità non mi ero accorto che mancava nell’articolo perchè l’ho subito installato dopo una lettura veloce e scorrendo l’help ho notato che c’era questa opzione! ^.^’

  4. clshack scrive:
    22 marzo 2010 alle 19:36

    Purtroppo però, siamo ancora a giugno 2009 :( speriamo bene :(

    Altrimenti cercherò altri tools ;)

  5. ov3rload scrive:
    23 marzo 2010 alle 09:32

    Ma guarda…ieri stavo guardando un po’ il sorgente per cercare di capire come sistema le vulnerabilità. Forse ce la possibilità di crearsi un proprio database e inserirlo direttamente in locale.

  6. clshack scrive:
    23 marzo 2010 alle 14:46

    Si però, emm sarebbe più completo il loro :D

    Vabbè, quando avrò un attimo di tempo, guarderò meglio anche io :D

  7. ov3rload scrive:
    23 marzo 2010 alle 17:14

    Ma se sono fermi a giugno 2009…! ^^ Ce ne sarebbero un bel po’ da inserire! x°D

  8. clshack scrive:
    23 marzo 2010 alle 17:43

    E’ si madonna :( però a me basta che mi individui i plugin :D

    Dopo le vulnerabilità me le cerco :D

Trackback e pingback

  1. OWASP Joomla Vulnerability Scanner
    [...] fonte: OWASP Joomla Vulnerability Scanner Articoli correlati: CondorHacker: l’oscuro mondo di Hacker – Lamer – [...]

Scrivi un commento