ابوالفضل طالبی

بررسی و مقایسه افزونه های امنیتی جوملا :: اختصاصی انجمن جوملای ایران _هدیه به کاربران

3 پست در این موضوع

[ATTACH=CONFIG]3262[/ATTACH]

یکی از مسائل مهم در طراحی سایت با جوملا بحث امنیت است که کاربران بر اساس دانسته های خود در حوزه امنیتی راه کارهای مختلفی را پیاده سازی میکنند و بسیاری هم هستند که بحث امنیت وب سایت برایشان اولویت آخر است ! به هر حال در این مقاله آموزشی در کار نیست و صرفا بحث مقایسه افزونه های امنیتی است .

افزونه های امنیتی بسیاری برای سیستم مدیریت محتوای جوملا منتشر شده است که از آن دست میتوان به افزونه های زیر اشاره کرد

  • Admin tools
  • RSFirewall
  • OSE Anti hacker
  • Biziant Sentry
  • jFireWall
  • jHackGuard
  • Mighty Defender
  • NinjaSecurity
  • SecureLive

ابتدا توضیح مختصری در خصوص این افزونه های امنیتی میدم:

[h=4]Admin Tools Pro[/h]ادمین تولز یکی از کامپوننتهای امنیتی جوملاست که در زمان انتشار بدلیل رایگان بودن استقبال زیادی از اون شد ولی اکنون نسخه رایگان اون بسیاری از امکانات رو نداره و باید نسخه تجاری خریداری کنید که نسخه تجاری حرفه ای اون 100 یورو قیمت داره و به نظر کمی سنگین میاد! اگر به این لینک مراجعه کنید مشاهده میکنید که یک مقایسه از نسخه رایگان و تجاری اون قرار گرفته و میتونید امکاناتش رو بررسی کنید.

[h=4]RSFirewall![/h]ار اس فایر وال هم دیگه کاملا شناخته شده است و برای شرکت معروف و معتبر RSJoomla است که میشه گفت افزونه هایی که تولید میکنه جای حرف نداره ! این افزونه هم تجاری عرضه شده و نسخه رایگانی نداره .شما میتونید لایسنس اون رو تهیه کنید و برای یک سال از آپدیت هاش استفاده کنید.میشه گفت که انتخاب اول همه سایتهای جوملایی RSFirewall است

[h=4]OSE Anti-Hacker[/h]طبق گفته سازنده این افزونه ، کلیه حفاظت های مورد نیاز برای جلوگیری از دسترسی هکرها به سایت شما در این افزونه طراحی شده است و در سایت سازنده نسخه های دیگه هم از این سیستم امنیتی برای سایر سیستم های مدیریت محتوا عرضه شده و گویا تلاش زیادی کردند که محدود به جوملا نباشه و در کل فقط و فقط همین افزونه رو منتشر کردند و درآمد اونها بر پایه این سیستم امنیتی است.

[h=4]Biziant Sentry[/h]این افزونه به رایگان منتشر شده و شاید خیلی ها اسمش رو نشنیده باشید.به هر حال دستش درد نکنه یک سیستم رایگان امنیتی منتشر کرده! ولی خب به نظر میرسه شاید نتونه اونجور که باید و شاید امنیت سایت جوملایی شما رو تامین کنه چرا که خود سازنده میگه من این افزونه رو تضمین نمیکنم و توصیه نمیکنم در سایتهایی که مهم هستند استفاده کنید! ولی در نهایت انتشارش میتونه به برنامه نویسان در طراحی و تولید سیستم های امنیتی کمک زیادی کنه ..

[h=4]jFireWall[/h]طبق ادعای سازنده این افزونه ، مهندسین امنیتی در طراحی و تولید این افزونه همکاری متقابل داشته اند و مبتنی بر دانش و دانسته های مهندسین مذکور طراحی شده است.این افزونه ها رایگان منتشر شده ولی برای دریافت پشتیبانی از شما پول میگره و با پرداخت 99 یورو میتونید به صورت نامحدود پشتیبانی بگیرید که قسمت خوب این کامپوننت همین موضوع است ولی در خصوص تامین امنیت سایت شما باید ادامه مقاله رو دنبال کنید.

[h=4]jHackGuard[/h]جی هک گارد هم توسط شرکت SiteGround طراحی شده است و برای تامین امنیت سایتهای جوملای منتشر شده.این افزونه تنها یک پلاگین است و با نصب و فعال سازی و همچنین تنظیم برخی گزینه ها میتونه برخی از موارد امنیتی را در سایت جوملایی شما تامین کنه.این پلاگین هم به صورت رایگان منتشر شده است.

[h=4]Mighty Defender[/h]این افزونه به نظر دیگه استفاده ای نداره ! چرا که هنوز به نسخه 2.5 ارتقا پیدا نکرده و قطعا فقط روی نسخه 1.5 جوملا قابل استفاده است و به هر حال این افزونه رو هم معرفی و مقایسه میکنیم تا دوستانی که از نسخه 1.5 جوملا هنوز استفاده میکنند مزایا و معایب این افزونه رو هم بدونند.

[h=4]NinjaSecurity[/h]این افزونه هم یکی دیگر از افزونه های امنیتی است که به صورت تجاری عرضه شده و نسخه رایگان ندارد.این افزونه دارای گارانتی برگشت پول هم هست تا 60 روز! گروه توسعه نینجا هم یکی از گروه های توسعه دهنده جوملاست که چند سالی است افزونه های خوبی منتشر کرده ولی در بحث امنیت باید افزونه آنها را با نام نینجا سکیوریتی تست کنیم تا ببنیم چه از آب در می آید!

[h=4]SecureLive[/h]این تیم هم در زمینه امنیت در حوزه وب فعال است و منبع درآمد آنها هم گویا فقط مباحث امنیتی سایت ها و سرور هاست.در همین حال افزونه ی سکیور لایو را به صورت تجاری منتشر کرده اند و محدود به جوملا نیستند و برای سایر سیستم های مدیریت محتوا هم همین افزونه را منتشر کرده اند.یکی از کارهای جالب این تیم فروش افزونه سکیورلایو به سبکی جدید است! وقتی گزینه خرید را بزنید مشاهده میکنید که با خرید نسخه PROFESSIONAL خدماتی جالب به شما خواهند داد برای مثال مانیتورینگ 24 ساعته سایت شما و یا بک آپ سایت به صورت سالانه روی CD و یا چت آنلاین که برای این خرید باید مبلغ حدود 50 دلار پرداخت کنید که به نظر با صرفه است!

توضیحاتی در خصوص افزونه های امنیتی مطرح در جوملا به شما دادم و اینکه کدام بهتر و کدام مناسب سایت شماست را باید در ادامه مقاله مورد اشاره دنبال کنید که مقایسه هایی عملی را انجام خواهیم داد تا به نقاط قدرت و ضعف هر یک پی بریم!

پایان مقاله یکم

Share this post


Link to post
Share on other sites

درود

در پست قبلی مهندس افزونه های امنیتی جوملا رو معرفی کردن و در ادامه من میخوام در مورد تست نفوذ سایت های جوملایی بر اساس این افزونه ها توضیح بدم

در واقع در این تاپیک قصد داریم بررسی کنیم که با نصب بودن هر کدوم از این افزونه ها و با انجام متد های مختلف هک روی سایت چه اتفاقی میفته و عملکرد و واکنش این افزونه ها

چطوری هست؟ چرا که کارایی این افزونه ها در قبال امنیت سایت بسیار حائز اهمیت هست و من میخوام همینجا یک نکته خیلی خیلی مهم رو گوشزد کنم

خیلی از کاربرا به من پیام میدن و سوال میکنن: آیا با نصب افزونه rsfirewall امنیت سایت من کامل میشه و من دیگه هک نمیشم؟؟؟

و جواب من اینه:

امنیت سایت با نصب یک افزونه تنها کامل نمیشه چرا که امنیت سایت یه مقوله چند وجهی هست . به یک عامل بستگی نداره بلکه عوامل متعددی دخیل هستند یکیش افزونه امنیتی هست

و یا شرکت های سازنده افزونه های امنیتی با کلی تبلیغ ادعا میکنن که محصول امنیتیشون در مقابل هکر ها حفاظ ایجاد میکنه

متد های متعددی برای تست عملکرد و آسب پذیری افزونه ها وجود داره یکی از اونا اینه که بیایم با استفاده از آسیب پذیری موجود روی سایت بیایم کد رو روی سایتی که

افزونه امنیتی نصب روی اون هست و در حالت عادی اگه روی سایت جوملایی خام که دارای باگ و بدون وجود افزونه های امنیتی هست اجرا کنیم باعث هک شدن میشه اجرا و منتظر نتیجه باشیم

که متد پرطرفداری هست در واقع ما دو الگو داشته باشیم یکی یک سایت خام جوملایی باگ دار و یکی دیگه یک سایت جوملایی باگ دار همراه با افزونه های امنیتی

در قسمت بعد وارد مبحث اصلی میشیم

ویرایش شده در توسط Pooyan Afzali

Share this post


Link to post
Share on other sites

در این تست افزونه های زیر شرکت داشتند

Admin tools

RSFirewall

OSE Anti hacker

Biziant Sentry

jFireWall

jHackGuard

Mighty Defender

NinjaSecurity

SecureLive

اولین متد حمله:

ایستادگی افزونه های امنیتی در مقابل حملات مبتنی بر xss در فرم نظرات افزونه k2 v2.3

در این روش به فرم نظرات افزونه کی دو نسخه 2.3 که قبلا به عنوان نقطه آسیب پذیر در این افزونه شناسایی شده بود حمله شد

ابتدا مختصری در مورد حملات xss توضیح میدم که بهتر در جریان تست قرار بگیرید:

به طور کلی حملات xss به حملاتی که کاربر از طریق مرورگر و با استفاده از کد های جاوا اسکریپت در نقاط حساس و آسیب پذیر سایت مثل فرم ها (نظرات،مدیریت و..) که به هر طریقی

به دیتابیس متصل و حاوی اطلاعات مهمی نظیر یوزر و پسورد کاربران مثل مدیر هستند اجرا میشه و هدف کاربرانی هستند که به سایت وارد میشن مثل مدیر که میره یوزر پسوردشو توی فرم لوگین وارد

میکنه و باعث سرقت کوکی میشه یا میتونه باعث سرقت اطلاعات بانکی یک کاربر بشه

این حمله در صورتی امکان پذیره که سایت هدف دستورات جاوا اسکریپت رو فیلتر نکرده باشه و یا بدون بررسی قابل اجرا باشن در اون قسمت سایت

البته در نسخه های جدید مرورگر ها مثل فایر فاکس امکان اجرای دستورات جاوا اسکریپت در مرورگر امکان پذیر نیست و هکر ها از نسخه 5 به پایین این مرورگر برای تزریق کد استفاده می کنند

خوب حالا از اونجایی هم که افزونه های متعددی برای جوملا هست یکیشون که خیلی معروفه و k2 نام داره (البته من شخصا با این جور افزونه ها مثل سوبی کی دو و... مخالفم به دلایل متعدد یکیش همین امنیت)

در نسخه 2.3 در قسمت فرم نظرات مخصوص این افزونه دارای باگ xss هست که در این تست ازش استفاده شده در واقع فرضیه اینه:

در سایتی که افزونه k2 نسخه 2.3 نصب شده که حاوی باگ xss هم هست و با نصب بودن همزمان هر یک از این افزونه های امنیتی ،در صورت بروز حمله توسط هکر به سایت،افزونه امنیتی مورد نظر چه

واکنشی رو نشون میده:

با اجرا کردن حمله xss به فرم نظرات کی دو نسخه 2.3 نتایج زیر حاصل شد:

1-Admin Tools Pro :

اصلا نتونست حمله رو تشخیص بده و هکر به راحتی کد رو تزریق کرد رفت !!!!!!

البته تعجبی هم نداره چون بر خلاف بعضی سایت ها و افراد که از این افزونه به عنوان سپر دفاعی (اونم چه سپر دفاعی اوپن مایندی!!) نام می برند و نصبشو برای امنیت سایت اکیدا توصیه میکنند

باید بگم که این افزونه صرفا یکسری اقدامات ساده مثل تغییر پسوند دیتابیس و یا تغییر آی دی مدیر و... اقدام می کنه که اصلا ربطی به حملات هک نداره !!!

پس کاربرانی که با نصب این سپر دفاعی عظیم !! فکر می کنند حملات xss روی سایت فیلتر میشه که تعدادشونم کم نیست حساب کار دستشون بیاد

در مورد کارایی واقعی این افزونه من پارسال یکسری تست ها انجام دادم که بعدا اگه مجالی بود قرار میدم نتایجم رو.

بریم بعدی.....:4d564ad6::4d564ad6:

2- Ose Anti Hacker

این افزونه که اخیرا سری تو سرا دراورده و ose خیلی روش مانور میده در مقابل این حمله اومد آی چی هکر رو بن( بلاک) کرد که برای دفعات بعدی نتونه اقدام کنه

میشه گفت عملکرد متوسطی داشت در این حمله چون نتونست به طور کامل جلو گیری کنه البته برای هکر های تازه کار همین بن کردن آی هم خیلی مفیده اما برای هکر های حرفه ای :hooom::hooom::33::33:

چون وقتی هکر بعد از اجرای دستور با بلاک شدن آی پیش مواجه میشه اگه کار بلد باشه میتونه ip blocking رو به راحتی دور بزنه در واقع در دنیای هک یکی از معضلات همین ip blocking توسط سیستم های

امنیتی روی سایت و سرور مثل فایروال های سخت افزاری و انتی دیراسر های سخت افزاری هست که برای متد های جالبی وجود داره که اکثرا پpriv8 هستند اما به هر حال این افزونه در مقابل این حمله

کاری که انجام داد آی پی مهاجم رو بلاک کرد

3- Biziant Sentry

این افزونه که تقریبا ناشناسه در این حمله یبه کی 2 کاملا اجازه داد کد حمله رو اجرا کنه بدون در نظر گرفتن ورودی یا کد داده شده به افزونه در واقع این افزونه کد رو شناسایی کرد اما ورودی رو

فیلتر نکرد.

بطور کلی فرم های تحت وب باید طوری باشه که ورودی ها رو بررسی کنه و در صورت مغایرت اونو فیلتر کنه که در این نسخه از کی دو همین بررسی نکردن ورودی مشکل ساز شد و این ابزار هم

نتونست از حمله جلو گیری کنه پس نمرش منفیه

4- jFireWall

این افزونه که تجاری هم هست اصلا نتونست حمله رو شناسایی کنه و کد براحتی اجرا شد و .......:hooom::hooom:

5-jHackGuard

این پلاگین بنظرم در عین سادگی عملکرد خوبی داره و ثابت کرده قدرت در تجاری بودن و کامپوننت و.. نیست .

این افزونه هم نتونست جلوی حمله رو بگیره اما وقوع حمله رو ثبت کرد

6- Mighty Defender

این افزونه هم نتونست حمله رو شناسایی کنه و متد اجرا شد

7- NinjaSecurity

این افزونه تجاری هم در شناسایی حمله ناکام موند

8-RSFirewall

این افزونه محبوب و تجاری که بیشتر نسخه نال شدش استفاده میشه تا لایسنس دار و و نسخه نال شدش بعضا بدلیل وجود کد های مخرب اضافه شده توسط افراد مختلف خودش موجب هک شدن کاربر میشه

تونست حمله رو شناسایی کنه و خطای Forbidden 403 رو به هکر نشون بده و اونو ناکام بزاره

البته باید گفت خطای 403 رو هم باز اگه هکر حرفه ای باشه میتونه دور بزنه اما نه به راحتی !!! در هر حال این افزونه عملکرد مثبتی داشت در این حمله

9-SecureLive

این افزونه هم در تشخیص حمله ناکام موند و کد به راحتی اجرا شد

منتظر قسمت های بعد ،متد های حمله بعد و نتیجه حاصله از این افزونه ها باشید

این تاپیک به مرور تکمیل میشه پس صبور باشید

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری