Pooyan Afzali

برنامه بررسی تست نفوذ و باگ سایت های جوملایی

27 پست در این موضوع

درود

خیلی خوبه که در کنار خدمات و معرفی افزونه های جوملا به بحث امنیت جوملا هم پرداخته بشه چرا که همونطور که میدونید جوملا بسته خام هست و باید

برای بهینه و حرفه ای شدنش افزونه های متعددی نصب کنیم و چه بسا نصب همین افزونه ها چه رایگان چه نال شده(که خطر بیشتری داره) لتعث بوجود امدن باگ در سایت و

احتالا موجب هک شدنش میشه

توی این پست یک اسکنر کارامد مخصوص بررسی باگ های معروف و مهمی که وجود هر کدوم میتونه منجر به هک شدن سایت جوملایی شما بشه معرفی میکنم که اسمش هست joomla security scanner

xss

sql injection

csrf

brute force

rfi

lfi

(بعدا در مورد این باگ ها و نحوه جلوگیری از اونا مقاله ها مفیدی رو قرار میدم)

لینک سالم بودن فایل توسط سایت virustotal

https://www.virustotal.com/file/8a5a647a8b352d12b12c9759596e8aecb92eadef8bf56ef4db855f5765d8df47/analysis/1328533724/

فقط یکی میشناسه که اونم false positive هست

روش کار خیلی سادست داخل کارد ادرس سایت جوملای خودتونو وارد کنید و در پایین باگ هایی که میخواید بررسی بشند رو تیک بزنید و بعد روی start کلیک کنید

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

درود

عزیز

یک اینکه این بحث کاش توی تاپیک بررسی امینت جوملا مطرح می کردی و حالا هم مهم نیتست

آقا عزیز این لینک خطا 403-400 داره بررسی کنید

و کاش در مورد افزونه ای که برای دانلود گذاشتید توضیحات لازم رو بدید...

یا علی

Share this post


Link to post
Share on other sites

متوجه نمیشم منظورتون از ارور 403-404 چی هست؟ الان دانلود کردم مشکلی نداشت

لینک اسکن برنامه هم سالم بود

این افزونه نیست یک برنامه تحت ویندوز هست کار باهاش خیلی راحته در مورد نحوه کار باهاشم توضیح دادم که چیکار کنید

Share this post


Link to post
Share on other sites
درود

عزیز

یک اینکه این بحث کاش توی تاپیک بررسی امینت جوملا مطرح می کردی و حالا هم مهم نیتست

آقا عزیز این لینک خطا 403-400 داره بررسی کنید

و کاش در مورد افزونه ای که برای دانلود گذاشتید توضیحات لازم رو بدید...

یا علی

با سلام

لینک سالم ...

اما برای ما دوباره آپلود شد جناب یاسین ...

http://jupload.ir/do.php?filename=joomlaforum.ir_13285349721.zip

موفق و سربلند و پایدار باشید

یا حق

Share this post


Link to post
Share on other sites

این نرم افزار کار خاصی نمیتونه زیاد انجام بده !

البته این نظر شخصی من هست. پیدا کردن باگ به این راحتی ها نیست.البته باید ببینی تو دیتابیس این اسکنر چند تا باگ رو لیست کردن .البته برای این اسکنر باید تمام افزونه های نال شده و رایگان و تجاری را در نظر میگرفتن . و تمامی باگ های این افزونه ها را چه نال شدش چه رایگان و چه تجاری رو در نظر بگیرن .که باتوجه به 6000 نسخه افزونه و اگر تجاری های نال شده هم بهش اضافه کنی .که خیلی بیشتر میشه .

این نیاز به یک تیم امنیتی قوی به همراه یک لیست کامل از تمامی باگ های موجود در جوملا و افزونه هاش هست .

فکر نکنم یه همچین نرم افزار دقیقی باشه.اگر هم باشه باید پولی باشه.ولی انصافا چند تا سایت را که میدونستم باگ دارند رو بررسی کردم و باگ هایی که مد نظرم بود را نشون داد.البته اون چند تا سایت ضعیف مطمئن هستم خیلی بیشتر از این حرف ها باگ دارند. اسکنر فقط تونست 9 تا از باگ های معروف رو نشون بده

راستی من چند تا سایت و همینطور اخرین ورژن جوملا را چک کردم .تو تمام موارد 1 فایل و یک پوشه رو میگه بررسی کن .

plugins\editors\xstandard\attachmentlibrary.php

و پوشه

plugins\editors\tinymce\jscripts\tiny_mce\plugins\tinybrowser

تو چند تا سایت مطمئن که یکیش p30joomla.com هست و از جمله سایت خودم و همینطور روی بسته جوملای 1.5.25 که بصورت خام بدونه افزونه هست چک کردم .تو همشون به اون یک فایل و یک پوشه گیر میده دائما میگه بررسی کن .

البته مهم نیست جدی نگیرید

موفق پایدار

Share this post


Link to post
Share on other sites

ارسال شده در (ویرایش شده)

این برنامه توسط سایت جهانی جوملا توصیه و معرفی شده

ضمنا همونطور که گفتم این برنامه فقط باگ های معروف مهم

xss

sql injection

csrf

brute force

rfi

lfi

رو بررسی میکنه و با بقیه باگ ها کاری نداره

من تونستم چند تا باگ تزریق کد و xss رو باهاش بگیرم

البته درسته برنامه سبکی هست و مثل accunetix سنگین نیست اما چون مخصوص جوملا هست و مخصوص این چند تا بگ قطعا میتونه کمک کنه

توضیح سایت سازندش:

Description

Detects file inclusion, sql injection, command execution vulnerabilities of a target Joomla! web site.

لینک رسمی دانلود

http://sourceforge.net/projects/joomscan/

لینک سایت سازنده

http://www.owasp.org/index.php/Category:OWASP_Joomla_Vulnerability_Scanner_Project

گفته گه بزودی آپدیتش میکننن

لینک اشتراک برای اطلاع از بروز رسانی

https://lists.owasp.org/mailman/listinfo/owasp-joomla-vulnerability-scanner

داخل سایت جوملای جهانی هم توصیه شدم چند پست در موردش دیدم

ویرایش شده در توسط Pooyan Afzali

Share this post


Link to post
Share on other sites

با سلام من سایتم رو تست کردم که سه مورد رو آدرسش رو آسیب پذیر میشناسه. چطوری برطرفش کنم؟

Share this post


Link to post
Share on other sites

ارسال شده در (ویرایش شده)

چجوری باید باگ هایی رو که میپه رو برطرف کرد؟

do.php?imgf=joomlaforum.ir_13804695241.png

ویرایش شده در توسط rezabaghaie

Share this post


Link to post
Share on other sites

بستگی به نوع باگ داره دوست عزیز نحوه Patch هر باگ متفاوته

من از این نرم افزار استفاده نکردم،مگه توضیحات در مورد نوع باگ و نحوه Patch خودش ارائه نمیده؟

Share this post


Link to post
Share on other sites
نه توضیحی نمیده

چه نوع باگی رو پیغام داده؟هر نوع باگ متفاوته نحوه پچ کردنش!

Share this post


Link to post
Share on other sites

دوست عزیز چجوری میتونم بفهمم امینت سروری که سایتم روی اون قرار داره چقدره؟

Share this post


Link to post
Share on other sites
دوست عزیز چجوری میتونم بفهمم امینت سروری که سایتم روی اون قرار داره چقدره؟

این کار تخصصی هست دوست عزیز اما با همین سایتی هم که عرض کردم قابل پیگری هست،ضمن اینکه در مورد سایت مورد نظر توی webhostingtalk تحقیق کنید

Share this post


Link to post
Share on other sites

الان رفتم توی سایت و یک کد داده میگه بزار توی سایتت! من اونو کجا بزارم سورس قالب رو که نمیشه بهم ریخت!

Share this post


Link to post
Share on other sites
الان رفتم توی سایت و یک کد داده میگه بزار توی سایتت! من اونو کجا بزارم سورس قالب رو که نمیشه بهم ریخت!

کد+توضیحات رو قرار بدید لطفا!

Share this post


Link to post
Share on other sites
do.php?imgf=joomlaforum.ir_13804749651.png

احتمالا باید در index.php یا index.html درج کنید کد رو احتمال بیشتر index.php هست!

Share this post


Link to post
Share on other sites

من مستقیما به main page قالبم دسترسی ندارم!!!! قالبش اینجوری طراحی شده

Share this post


Link to post
Share on other sites

راستی اون 5 موردی که اون نرم افزار بهم هشدار داد از نوع xss هستن!!!

Share this post


Link to post
Share on other sites
من مستقیما به main page قالبم دسترسی ندارم!!!! قالبش اینجوری طراحی شده

توی index.php خود سایت نه قالب

Share this post


Link to post
Share on other sites
راستی اون 5 موردی که اون نرم افزار بهم هشدار داد از نوع xss هستن!!!

RSFirewall از پسش بر میاد

Share this post


Link to post
Share on other sites
RSfirewall رو از کجا دان کنم؟ لینک سالم و رایگان داری؟

خیر دوست عزیز تجاری هست!

قبلا منتشر کرده بودم بصورت رایگان اما دیگه موجود نیست

موفق باشید

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری