09 noviembre 2011

Identificación de vulnerabilidades en CMS: Joomlascan y Plecost

Los mayores problemas de seguridad de los gestores de contenido más populares como Wordpress o Joomla, suelen venir por la instalación de plugins de terceros que no están lo suficientemente revisados y auditados.  Analizar uno de estos CMS es sinónimo de conocer que plugins tiene e identificar las vulnerabilidades que les afecta.

Con ese propósito nacieron dos productos nacionales: plecost para Wordpress y JoomlaScan para Joomla.

plecost, está desarrollada en python por Daniel Garcia y Francisco Jesús Gomez de iniqua, ya la mencionamos en una entrada específica de seguridad en Wordpress, pero merece la pena recordarla nuevamente. La última versión es la 0.2.2-9 y está integrada en distribuciones como Backtrack 5.  Tras auto-actualizar la lista de plugins (que es un poco doloroso en tiempo y tal vez debería simplemente bajarse el fichero de su sistema), esta es una captura de las opciones y una ejecución contra la instalación de su servidor :-)



joomlascan, está desarrollado en perl por Jose Luis (pepeluxx) y ha publicado recientemente la versión 1.3. Este script también permite auto actualizarse, identifica plugins y reporta vulnerabilidades potenciales, tanto del core del CMS, como de plugins instalados.

8 comments :

Ruben Webmaster dijo...

Yo sé de uno que se va a poner a auditar sus creaciones web! Gracias! :)

Vaxman dijo...

Interesante artículo, como siempre vamos. En Hacktimes.com hablamos hace tiempo también de la seguridad en los CMS Joomla y Wordpress, añado los links por si alguien quiere completar algo más en el tema: http://www.hacktimes.com/seguridad_en_joomla/ y http://www.hacktimes.com/jugando_con_wordpress/

Dani dijo...

Hola!

Soy, Daniel, uno de los creadores de Plecost. Como comentas, la actualización de los plugins es un poco masoquista, sí. Tenemos pendiente incluir nuevas mejoras.

Me ha gustado el target de la auditoría, jaja. Madre mía, si es que ya se sabe, en casa del herrero... :-P Habrá que volver a securizarlo (las actualizaciones hacen estragos)

Alejandro Ramos dijo...

¡Genial Dani! y enhorabuena por la aplicación, cuando haya nueva versión, volvemos a comentar los cambios ;)

Un saludo!

ffranz dijo...

En realidad hemos dejado el blog como lugar de pruebas... ;) como bien indica Dani, en breve plecost estará disponible con nuevas funcionalidades. Saludos!

ffranz dijo...

En realidad hemos dejado el blog como lugar de pruebas... ;) como bien indica Dani, en breve plecost estará disponible con nuevas funcionalidades. Saludos!

juino dijo...

Muy buen post, como siempre :) 

Jose Luis - Pepelux dijo...

Grache Alex! :) 

Joer que retrasado voy en la lectura de RSS's