OWASP - JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

Review Software ต่างๆ ส่วนเสริม Joomla , phpBB, Wordpress, magento และอื่นๆ

Moderator: mindphp, ผู้ดูแลกระดาน

ภาพประจำตัวสมาชิก
tsukasaz
PHP VIP Members
PHP VIP Members
โพสต์: 21911
ลงทะเบียนเมื่อ: 18/04/2012 9:39 am

OWASP - JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

โพสต์ที่ยังไม่ได้อ่าน โดย tsukasaz »

รูปภาพ

OWASP Joomla! Vulnerability Scanner หรือ JoomScan เป็นเครื่องมือสำหรับตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ ซึ่ง Joomla เป็นระบบบริหารจัดการเนื้อหาบนเว็บไซต์ (CMS) ที่ได้รับความนิยมจากผู้ใช้งานจำนวนมาก มีการนำไปพัฒนาเป็นระบบต่างๆ ทั้งแบบส่วนบุคคลและในส่วนธุรกิจ โดยเมื่อเว็บไซต์ออนไลน์อยู่บนอินเตอร์เนตที่สามารถเข้าถึงได้จากทุกที่แล้ว เรื่องระบบความปลอดภัยถือเป็นสิ่งสำคัญ โดยเฉพาะเว็บไซต์ที่มีผู้ใช้งานจำนวนมากหรือเว็บไซต์ของธุรกิจ จะต้องมีการตรวจสอบข้อผิดพลาดและหาช่องโหว่ของระบบที่อาจจะทำให้ถูกโจมตีจากผู้ไม่หวังดี ซึ่งในกระบวนการนี้อาจจะต้องใช้ผู้เชี่ยวชาญเฉพาะด้านในการตรวจสอบ หรือถ้าไม่มีอาจจะใช้เครื่องมือช่วยตรวจสอบระบบ นั่นคือตัว JoomScan นั่นเอง

JoomScan เป็นเครื่องมือโอเพ่นซอร์ส (Open Source) ที่สามารถนำไปใช้งานได้แบบไม่มีค่าใช้จ่าย พัฒนาจากภาษา Perl โดยมีจุดประสงค์เพื่อใช้สำหรับตรวจสอบช่องโหว่และเพิ่มความน่าเชื่อถือให้กับระบบของ Joomla การทำงานจะเรียกใช้ Perl ผ่าน command หน้าจอหลักของเครื่องมือจะออกแบบมาให้สามารถใช้งานได้ง่าย และการทำงานสามารถทำได้อย่างรวดเร็ว ขนาดไฟล์ของตัวเครื่องมือมีขนาดเล็กไม่กินพื้นที่ นอกจากนี้หลังจากตรวจสอบระบบเสร็จจะมีการสร้างไฟล์รายงานเป็น Text และ HTML เพื่อความสะดวกในการนำข้อมูลไปใช้ประโยชน์ต่อไป

ความสามารถหลักของ JoomScan
- ตรวจสอบเวอร์ชั่นของ Joomla
- ตรวจสอบช่องโหว่ทั่วไป
- ตรวจสอบ Component บนระบบ
- ตรวจสอบช่องโหว่ของ Component
- ตรวจจับ Firewall
- ระบบรายงานเป็น Text กับ HTML
- ระบบค้นหาไฟล์ Log
- ระบบค้นหาไฟล์ Backup

เว็บไซต์หลัก https://www.owasp.org/index.php/Categor ... er_Project
ดาวน์โหลดได้ที่ https://github.com/rezasp/joomscan/releases

หน้าจอ JoomScan
OWASP.png
OWASP.png (29.05 KiB) Viewed 3379 times

การใช้งาน JoomScan

เริ่มต้นให้เข้าไปดาวน์โหลดเวอร์ชั่นล่าสุดได้ที่ https://github.com/rezasp/joomscan/releases ในตัวอย่างเป็นเวอร์ชั่น 0.0.7
guide01.png
guide01.png (93.43 KiB) Viewed 3373 times
ไฟล์ดาวน์โหลดจะเป็น zip ให้แตกไฟล์ ในตัวอย่างจะแตกไว้ในไดร์ D จะได้ไฟล์ตามภาพ
guide02.png
guide02.png (79 KiB) Viewed 3373 times
เปิด command ขึ้นมา พิม perl -v เพื่อทดสอบก่อนว่าสามารถใช้ perl ได้หรือไม่ ถ้าใช้ได้จะแสดงผลตามภาพ ถ้ายังไม่มีให้ดาวน์โหลดมาติดตั้งได้ที่ https://www.perl.org/get.html
guide03.png
guide03.png (80.23 KiB) Viewed 3373 times
ใช้คำสั่ง command เข้าไปที่โฟลเดอร์ของ JoomScan ก่อน จากนั้นพิมพ์ perl joomscan.pl จะแสดงผลตามภาพ
guide04.png
guide04.png (96.22 KiB) Viewed 3373 times
ใช้คำสั่งอย่างง่ายสำหรับการตรวจสอบเว็บ พิมพ์ perl joomscan.pl -u ตามด้วยชื่อเว็บไซต์ เช่น perl joomscan.pl -u http://joomla3.mindphp.com
guide05.png
guide05.png (115.16 KiB) Viewed 3373 times
หลังจากตรวจสอบเว็บไซต์เสร็จแล้วจะได้ไฟล์รายงานเป็น Text กับ HTML
ตัวอย่างไฟล์ HTML
guide06.png
guide06.png (137.99 KiB) Viewed 3373 times
ตัวอย่างไฟล์ Text
guide07.png
guide07.png (287.84 KiB) Viewed 3373 times
The last bug isn't fixed until the last user is dead. (Sidney Markowitz, 1995)
ภาพประจำตัวสมาชิก
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
โพสต์: 41127
ลงทะเบียนเมื่อ: 22/09/2008 6:18 pm
ติดต่อ:

Re: OWASP - JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

โพสต์ที่ยังไม่ได้อ่าน โดย mindphp »

อัพเดดล่าสุด เมื่อสามเดือนที่แล้ว
- สามารถ เพิ่ม component ที่จะตรวจสอบเข้าไปได้เองที่
ที่ไฟล์
exploit/components.pl
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042
ตอบกลับโพส

ผู้ใช้งานขณะนี้

สมาชิกกำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และบุคลทั่วไป 29