OWASP Joomscan - Detecta problemas en tu Joomla - BoomerNiX

martes, 12 de marzo de 2019

OWASP Joomscan - Detecta problemas en tu Joomla

Si utilizas el CMS Joomla probablemente te interese la herramienta de la que voy a hablar en el post de hoy, se trata de Joomscan, y nos va a ayudar en la búsqueda de vulnerabilidades en Joomla.

Joomscan es un proyecto de OWASP, el lenguaje utilizado para su implementación es Perl, y nos permitirá escanear nuestro Joomla para detectar posibles vulnerabilidades conocidas y errores que tengamos en la configuración. Es muy sencilla de usar y nos generará reportes al terminar el trabajo. Vamos a ver un ejemplo de uso con una instancia local de Joomla.

PoC Joomscan 

La herramienta ya viene en la distribución de Kali, así que no nos hace falta descargar nada si usamos este sistema operativo, si no usa el enlace al GitHub que puse al comienzo. Lo primero que hay que hacer para usar una herramienta es leer su documentación o por lo menos echar un vistazo a su ayuda, se muestra a continuación.

Figura 1 - Ayuda de Joomscan

Se puede apreciar unas cuantas opciones para lanzar la herramienta, como por ejemplo usar proxy o agregar cookies a las peticiones. Para ejecutar un escáner rápido le indicamos la URL de nuestro Joomla, y la herramienta empezará a trabajar (se divide en 2 capturas).

Figura 2 - Escáner de Joomscan I

Figura 3 - Escáner de Joomscan II

Vemos que no hay vulnerabilidades conocidas, que nos saca la versión del Joomla y la página de administración y unos cuantos directorios. Al terminar nos informa que se ha generado un informe, y que se ha guardado en la capeta “reports/dominio”, esta carpeta la puedes encontrar en la carpeta de la herramienta. Y el informe luce como se ve en la siguiente captura.

Figura 4 - Reporte de Joomscan

Un post rápido, para conocer una herramienta fácil de usar y que nos va a dar una información valiosa, desde luego solo con esta herramienta no vamos a poder detectar todos los problemas, hay que ayudarse de otras herramientas, pero para una primera aproximación es muy útil. ¡Hasta pronto!

No hay comentarios:

Publicar un comentario