El paraiso: 1,148 Exploit´s, Scanner para JOOMLA y Tips de Seguridad Básicos -
Muchos
amigos me han comentado que si podíamos poner una lista de los EXPLOITS
que se podrían usar para atacar un sistema hecho en JOOMLA y además algunos scanners de vulnerabilidades para este mismo CMS.
-------------------------------------------------------------------
Aquí
les dejamos la página de exploit DB donde se encuentra una lista de 1,148
EXPLOITS que los malandros informáticos usan para atacar JOOMLA
--------------------------------------------------------------
---------------------------------------------------------RatioSec Research Security Advisory RS-2016-001---------------------------------------------------------JSN PowerAdmin Joomla! Extension Remote Command Execution Via CSRF andXSS vulnerabilities---------------------------------------------------------Product: JSN PowerAdmin Joomla! ExtensionVendor: JoomlaShine.comTested Versions: 2.3.0Other Vulnerable Versions: Prior versions may also be affectedVendor Notification: 28th January, 2016Advisory Publication: 24th February, 2016CVE Reference: PendingRatioSec Advisory Reference: RS-2016-001Risk Level: HighCVSSv3 Base Score: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
y aquí les dejamos el primer escanner de vulnerabilidades que pertenece a:
Cabe mencionar que los de OWASP han dejado de actualizar este proyecto y no se sabe cuando lo retomen, pero es bueno usarlo.
y por si no les gustan los standalone script, les dejo los scaneadores de vulnerabilidades de JOOMLA en LINEA:
1.- MYJOOMLA
2.- SITEGUARDING
3.- GEEKFLARE JOOMLA SCANNER ONLINE
4.- SUCURI
5.- RAPID7 PLUGIN meTASPLOIT
6.- RSJOOMLA SCANNER
JAMMS script lo probé y realmente es bueno, esta actualizado y también escanea a wordpress:
Joomla-Anti-Malware-Scan-Script--JAMSS-
Y EN ESTE PROXIMO link podrán encontrar los nuevos exploits que van saliendo:
CVE DB- Joomla VULn.
OWASP Joomla Vulnerability Scanner Project
Cabe mencionar que los de OWASP han dejado de actualizar este proyecto y no se sabe cuando lo retomen, pero es bueno usarlo.
y por si no les gustan los standalone script, les dejo los scaneadores de vulnerabilidades de JOOMLA en LINEA:
1.- MYJOOMLA
2.- SITEGUARDING
3.- GEEKFLARE JOOMLA SCANNER ONLINE
4.- SUCURI
5.- RAPID7 PLUGIN meTASPLOIT
6.- RSJOOMLA SCANNER
JAMMS script lo probé y realmente es bueno, esta actualizado y también escanea a wordpress:
Joomla-Anti-Malware-Scan-Script--JAMSS-
Y EN ESTE PROXIMO link podrán encontrar los nuevos exploits que van saliendo:
CVE DB- Joomla VULn.
DISFRUTENLOS CON MODERACIÓN. ;p
Al darle click en el link les pedirá que inserten de nuevo el captcha ok.
AQUI
--------------------------------------
Ahora algo super importante, les comentare tips de seguridad básicos los cuales debemos de tener en cuenta para que nuestro joomla este mas seguro.
---------------------------------------
1.- Siempre cambiar el passowrd por default de logeo a la administración de tu joomla o wordpress.
2.- Hacer respaldos continuamente por si sucede algo, como mi papa decia hombre prevenido vale por dos. jejejeje ;P.
3.- Siempre actualiza tu joomla o wordpress a la mas nueva versión.
5.- Los permisos de tus folders y archivos configuralos bien o minimo un poco mejor.
como por ejemplo los archivos:
PHP con permisos = 644
los archivos de configuración
Config Files = 666
Los otros archivos y folders:
archivos y folders – 755
---------- Usa componentes que añadan seguridad a tu joomla como lo son: ----------
--> jHackGuard:
http://www.siteground.com/joomla-hosting/joomla-extensions/ver1.5/jhack.htm
---------------------------------------------------------------------------
2. Akeeba Backup:
3. Admin Tools:
4. Site Scan:
5. CD Login Confirmation:
--------------------------------------------------------------------------------------
6. Backend Token:
http://www.willcodejoomlaforfood.de/downloads/?fileid=37
--------------------------------------------------------------
7. EasyCalcCheck Plus:
http://joomla-extensions.kubik-rubik.de/downloads/ecc-easycalccheck-plus-joomla16-download
--------------------------------------------------------------------------
8. Security Images:
http://www.waltercedric.com/joomla-releases-mainmenu-269.html
--------------------------------------------------------------------------------
9. kSecure:
http://www.kareebu.com/downloads/download?path=kSecure.zip
-------------------------------------------------------------------------------
10. JomDefender:
https://www.corephp.com/members/cart.php?a=add&pid=15
----------------------------------------------------------------------------
11. Marcos Interceptor:
Más información:
http://www.mmleoni.net/sql-iniection-lfi-protection-plugin-for-joomla
------------------------------------------------------------------------------
12. jLogon Alert:
http://www.applejuice.it/jextension/logonalert.php
-------------------------------------------------------------------------------
13. Encrypt configuration:
http://www.ratmil.com/downloads/encryption-configuration.html
SALUDOS
--------------------------------------
Ahora algo super importante, les comentare tips de seguridad básicos los cuales debemos de tener en cuenta para que nuestro joomla este mas seguro.
---------------------------------------
1.- Siempre cambiar el passowrd por default de logeo a la administración de tu joomla o wordpress.
2.- Hacer respaldos continuamente por si sucede algo, como mi papa decia hombre prevenido vale por dos. jejejeje ;P.
3.- Siempre actualiza tu joomla o wordpress a la mas nueva versión.
4.- si vas a usar componentes de otros programadores para darle mayor flexibilidad a tu sistema, POR FAVOR FIJATE QUE NOSEAN VULNERABLES QUE POR AHI TE PUEDEN HACKEAR.
5.- Los permisos de tus folders y archivos configuralos bien o minimo un poco mejor.
como por ejemplo los archivos:
PHP con permisos = 644
los archivos de configuración
Config Files = 666
Los otros archivos y folders:
archivos y folders – 755
---------- Usa componentes que añadan seguridad a tu joomla como lo son: ----------
--> jHackGuard:
http://www.siteground.com/joomla-hosting/joomla-extensions/ver1.5/jhack.htm
---------------------------------------------------------------------------
2. Akeeba Backup:
3. Admin Tools:
4. Site Scan:
5. CD Login Confirmation:
--------------------------------------------------------------------------------------
6. Backend Token:
http://www.willcodejoomlaforfood.de/downloads/?fileid=37
--------------------------------------------------------------
7. EasyCalcCheck Plus:
http://joomla-extensions.kubik-rubik.de/downloads/ecc-easycalccheck-plus-joomla16-download
--------------------------------------------------------------------------
8. Security Images:
http://www.waltercedric.com/joomla-releases-mainmenu-269.html
--------------------------------------------------------------------------------
9. kSecure:
http://www.kareebu.com/downloads/download?path=kSecure.zip
-------------------------------------------------------------------------------
10. JomDefender:
https://www.corephp.com/members/cart.php?a=add&pid=15
----------------------------------------------------------------------------
11. Marcos Interceptor:
Más información:
http://www.mmleoni.net/sql-iniection-lfi-protection-plugin-for-joomla
------------------------------------------------------------------------------
12. jLogon Alert:
http://www.applejuice.it/jextension/logonalert.php
-------------------------------------------------------------------------------
13. Encrypt configuration:
http://www.ratmil.com/downloads/encryption-configuration.html
y así podriamos seguir dando tips de seguridad para tu joomla , a lo que me viene esta pregunta a la mente:
SI HAY UN FREGADAL DE SISTEMAS Y PLUGINS PARA PODER EVITAR EN GRAN MEDIDA LOS ATAQUES EN JOOMLA Y WORDPRESS... POR QUE CANIJO NO LOS INSTALAN?.
SALUDOS
Rodolfo H. Baz
X. CyberSecurity COnferences - Fundador - www.x25.org.mx
Certified White Hat Professional - C.E.O. - www.ccat.edu.mx
No hay comentarios:
Publicar un comentario