JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

Review Software ต่างๆ ส่วนเสริม Joomla , phpBB, Wordpress, magento และอื่นๆ

Moderators: mindphp, ผู้ดูแลกระดาน

User avatar
tsukasaz
PHP VIP Members
PHP VIP Members
Posts: 10562
Joined: 18/04/2012 9:39 am

JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

Post by tsukasaz » 13/12/2018 2:24 pm

Image

OWASP Joomla! Vulnerability Scanner หรือ JoomScan เป็นเครื่องมือสำหรับตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ ซึ่ง Joomla เป็นระบบบริหารจัดการเนื้อหาบนเว็บไซต์ (CMS) ที่ได้รับความนิยมจากผู้ใช้งานจำนวนมาก มีการนำไปพัฒนาเป็นระบบต่างๆ ทั้งแบบส่วนบุคคลและในส่วนธุรกิจ โดยเมื่อเว็บไซต์ออนไลน์อยู่บนอินเตอร์เนตที่สามารถเข้าถึงได้จากทุกที่แล้ว เรื่องระบบความปลอดภัยถือเป็นสิ่งสำคัญ โดยเฉพาะเว็บไซต์ที่มีผู้ใช้งานจำนวนมากหรือเว็บไซต์ของธุรกิจ จะต้องมีการตรวจสอบข้อผิดพลาดและหาช่องโหว่ของระบบที่อาจจะทำให้ถูกโจมตีจากผู้ไม่หวังดี ซึ่งในกระบวนการนี้อาจจะต้องใช้ผู้เชี่ยวชาญเฉพาะด้านในการตรวจสอบ หรือถ้าไม่มีอาจจะใช้เครื่องมือช่วยตรวจสอบระบบ นั่นคือตัว JoomScan นั่นเอง

JoomScan เป็นเครื่องมือโอเพ่นซอร์ส (Open Source) ที่สามารถนำไปใช้งานได้แบบไม่มีค่าใช้จ่าย พัฒนาจากภาษา Perl โดยมีจุดประสงค์เพื่อใช้สำหรับตรวจสอบช่องโหว่และเพิ่มความน่าเชื่อถือให้กับระบบของ Joomla การทำงานจะเรียกใช้ Perl ผ่าน command หน้าจอหลักของเครื่องมือจะออกแบบมาให้สามารถใช้งานได้ง่าย และการทำงานสามารถทำได้อย่างรวดเร็ว ขนาดไฟล์ของตัวเครื่องมือมีขนาดเล็กไม่กินพื้นที่ นอกจากนี้หลังจากตรวจสอบระบบเสร็จจะมีการสร้างไฟล์รายงานเป็น Text และ HTML เพื่อความสะดวกในการนำข้อมูลไปใช้ประโยชน์ต่อไป

ความสามารถหลักของ JoomScan
- ตรวจสอบเวอร์ชั่นของ Joomla
- ตรวจสอบช่องโหว่ทั่วไป
- ตรวจสอบ Component บนระบบ
- ตรวจสอบช่องโหว่ของ Component
- ตรวจจับ Firewall
- ระบบรายงานเป็น Text กับ HTML
- ระบบค้นหาไฟล์ Log
- ระบบค้นหาไฟล์ Backup

เว็บไซต์หลัก https://www.owasp.org/index.php/Categor ... er_Project
ดาวน์โหลดได้ที่ https://github.com/rezasp/joomscan/releases

หน้าจอ JoomScan
OWASP.png
OWASP.png (29.05 KiB) Viewed 946 times

การใช้งาน JoomScan

เริ่มต้นให้เข้าไปดาวน์โหลดเวอร์ชั่นล่าสุดได้ที่ https://github.com/rezasp/joomscan/releases ในตัวอย่างเป็นเวอร์ชั่น 0.0.7
guide01.png
guide01.png (93.43 KiB) Viewed 940 times
ไฟล์ดาวน์โหลดจะเป็น zip ให้แตกไฟล์ ในตัวอย่างจะแตกไว้ในไดร์ D จะได้ไฟล์ตามภาพ
guide02.png
guide02.png (79 KiB) Viewed 940 times
เปิด command ขึ้นมา พิม perl -v เพื่อทดสอบก่อนว่าสามารถใช้ perl ได้หรือไม่ ถ้าใช้ได้จะแสดงผลตามภาพ ถ้ายังไม่มีให้ดาวน์โหลดมาติดตั้งได้ที่ https://www.perl.org/get.html
guide03.png
guide03.png (80.23 KiB) Viewed 940 times
ใช้คำสั่ง command เข้าไปที่โฟลเดอร์ของ JoomScan ก่อน จากนั้นพิมพ์ perl joomscan.pl จะแสดงผลตามภาพ
guide04.png
guide04.png (96.22 KiB) Viewed 940 times
ใช้คำสั่งอย่างง่ายสำหรับการตรวจสอบเว็บ พิมพ์ perl joomscan.pl -u ตามด้วยชื่อเว็บไซต์ เช่น perl joomscan.pl -u http://joomla3.mindphp.com
guide05.png
guide05.png (115.16 KiB) Viewed 940 times
หลังจากตรวจสอบเว็บไซต์เสร็จแล้วจะได้ไฟล์รายงานเป็น Text กับ HTML
ตัวอย่างไฟล์ HTML
guide06.png
guide06.png (137.99 KiB) Viewed 940 times
ตัวอย่างไฟล์ Text
guide07.png
guide07.png (287.84 KiB) Viewed 940 times
The last bug isn't fixed until the last user is dead. (Sidney Markowitz, 1995)

Return to “Software Review”

Users browsing this forum: No registered users and 1 guest