Muchas veces, al auditar un servidor web hacemos mucho esfuerzo por conseguir vulnerabilidades para lograr algún fin ético o no ético, para llegar a cumplir nuestro objetivo, pero existen dos herramientas un poco desconocidas las cuales son muy útiles al momento de auditar una página web, en Joomla y wordpress.
Dichas herramientas se encargan de automatizar el proceso de búsqueda de vulnerabilidades en un servidor tales como Inyección SQLi, XSS, LFI, entre otras. Entonces, estás herramientas tienen la posibilidad de ahorrarnos mucho tiempo en la auditoria, veremos cuales son a patir de ahora, Vamos a ello:
Wordpress:
(http://ayudawordpress.com/wp-content/uploads/2011/06/wordpress-hacked.jpg)
Para la auditoria en un servidor web de wordpress, existe una herramienta llamada "WPscan" , la cúal fue desarrollada en ruby, esta herramienta tiene la misma útilidad que la próxima que explicaremos más adelante para Joomla, realizar un escaneo al sitio web con el fin de encontrar vulnerabilidades web, las cuales comúnmente se encuentran en los plugins/complementos del sitio.
Está herramienta pertenece a los módulos del Backtrack 5 r3, entonces si tenemos dicho OS abrimos la terminal y ejecutamos lo siguiente:
cd /pentest/web/wpscan
La cúal es la ruta en dónde se encuentra dicha herramienta. Y si no la tienen allí, solo especifiquen la ruta seguidamente del CD.
Entonces, para ejecutar la herramienta hacemos lo siguiente:
ruby wpscan.rb --url www.sitiowebwordpressascanear.com
Aquí necesitamos ruby, pero ya viene instalado por defecto en el backtrack. Seguidamente de esto, automáticamente la herramienta empezara a auditar el sitio web de wordpress, reflejandonos todas sus respectivas vulnerabilidades.
Joomla:
(http://www.edumisoftware.com/blog/wp-content/uploads/2013/05/joomla-htaccess-no-funciona.jpg)
Está herramienta a diferencia de la otra, fue desarrollada en perl, y se llama "Joomscan", también se encarga de auditar el servidor con el fin de la detección de vulnerabilidades web. Para ejecutar la herramienta, teclearemos lo siguiente en la terminal:
cd /pentest/web/joomscan
Seguidamente, ejecutamos lo siguiente:
perl jmscan.pl -u www.sitiowebascanear.com
Y automáticamente, nos empezara a reflejar las vulnerabilidades que se encuentra en el servidor web (si es que encuentra). Entonces, satisfactoriamente hemos logrado cumplir nuestro objetivo de auditar un servidor web de manera automátizada la cúal nos ahorra mucho tiempo de lo normal.
Espero les haya gustado.
Saludos, @M5f3r0 .
Hombre...con todas mis disculpas...muy desconocidas, no son... ;)
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Hombre...con todas mis disculpas...muy desconocidas, no son... ;)
Dije que son un poco desconocidas, no muy desconocidas, pero actualmente ya bastantes conocen estás dos herramientas.
Yo soy de las personas que piensa que ese tipo de herramienta siempre da falsos positivos y que mejor es hacerlo de forma manual , pero aun asi gracias por compartir :)