Penetration Testing Joomla

Einschätzung des Sicherheitslevels einer Installation des Content Management Systems Joomla

Die bestehende Installation eines Content Management Systems bei Übernahme des Kunden objektiv zu beurteilen ist mitunter nur begrenzt und mit viel Aufwand möglich.

Es ist zu prüfen, welches Patchlevel das CMS-Basissystem, welche Versionierung einzelne Erweiterungen/Extensions haben und welcher Anteil davon per Extension Hook modifiziert ist.

Zudem muß man gegenüber dem Kunden dokumentieren, wie 'clean' die Installation, bzw. ob diese möglicherweise infiziert ist. Nur wenn alle Parameter passen und die CMS-Basis noch ausreichend Long Term Support(LTS) des Herstellers besitzt, macht es Sinn, mit einer bestehenden Installation weiterzuarbeiten.

Eine solche Einschätzung ist sehr aufwändig und subjektiv. Es werden Compares gegen eine Clean Install gefahren, sowohl auf Datei-Ebene als auch in der Datenbank.

Als gutes Pentesting Tool hat sich hierbei das Perlscript Joomscan erwiesen. Mit Vulnerability Checks auf derzeit 668 Sicherheitslücken/Schwachstellen in Joomla läßt sich dieser Penetration Test vollautomatisch ausführen und bringt nach ca. 35 Minuten ein belastbares Ergebnis auf derzeit bekannte Angriffsszenarien.

Joomscan gibt es als Modul für die aktuelle KALI Distribution

http://tools.kali.org/web-applications/joomscan

oder man installiert sich Perl 5.6 + Modul libwww-mechanize-perl in seine Linux-Distribution und lädt sich dann Joomscan

sourceforge.net/projects/joomscan/

aus dem Sourceforge-Repository.

Sie haben einen Internet-Auftritt mit einer infizierten Joomla Installation? Gern prüfen wir diese und erstellen ein Angebot zur Bereinigung/Migration auf TYPO3!

OWASP Joomla! Security Scanner

Klicken Sie auf die Sterne, um eine Bewertung abzugeben.

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%3D%3DYTowOnt9YTowOnt9YTo3OntzOjE2OiJjb21tZW50TGlzdEluZGV4IjthOjA6e31zOjE0OiJjb21tZW50c1BhZ2VJZCI7aToxNjM7czoxNjoiY29tbWVudExpc3RDb3VudCI7czozOiIzOTciO3M6MTI6ImFjdGl2ZWxhbmdpZCI7aTowO3M6MTc6ImNvbW1lbnRMaXN0UmVjb3JkIjtzOjE0OiJ0dF9jb250ZW50XzM5NyI7czoxMjoiZmluZGFuY2hvcm9rIjtzOjE6IjAiO3M6MTI6Im5ld2NvbW1lbnRpZCI7Tjt9 YTo1OntzOjExOiJleHRlcm5hbFVpZCI7aToxNjM7czoxMjoic2hvd1VpZFBhcmFtIjtzOjA6IiI7czoxNjoiZm9yZWlnblRhYmxlTmFtZSI7czo1OiJwYWdlcyI7czo1OiJ3aGVyZSI7czoxMDU6ImFwcHJvdmVkPTEgQU5EIHBpZD0xMjIgQU5EIHR4X3RvY3RvY19jb21tZW50c19jb21tZW50cy5kZWxldGVkPTAgQU5EIHR4X3RvY3RvY19jb21tZW50c19jb21tZW50cy5oaWRkZW49MCI7czoxMDoid2hlcmVfZHBjayI7czo5MDoicGlkPTEyMiBBTkQgdHhfdG9jdG9jX2NvbW1lbnRzX2NvbW1lbnRzLmRlbGV0ZWQ9MCBBTkQgdHhfdG9jdG9jX2NvbW1lbnRzX2NvbW1lbnRzLmhpZGRlbj0wIjt9 YTowOnt9
4.8 (4 Stimmen)
Bitte bestätigen Sie
Nein
Ja
Information
Ok
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Kommentare zu diesem Beitrag:

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*


*