Herramientas para realizar un pentest a CMS

julio 10, 2013 § 1 comentario

En los últimos años el número de sitios web desarrollados a través  de sistemas de gestión de contenidos  ha crecido a un ritmo muy rápido. El número de ataques informáticos que reciben estos tipos de webs va también en aumento, dado que muchos de los propietarios no prestan demasiada atención al tema de la seguridad.

En Enero del 2012 salió a luz el llamado Kit Phoenix, un kit aumatizado que aprovechaba un fallo de seguridad de WordPress 3.2.1 para insertar código malicioso que infectaba con un troyano a quienes visitaran la web. Esta mañana en la página de seguridad Sanz Institute publicaban un nuevo tipo de ataque que afecta a las webs que se encuentren desarrolladas con Joomla y WordPress . Se trata de un nuevo kit que lanza un conjunto de exploits a los servidores con la intención de inyectar código malicioso, con el fin de redirigir a los visitantes a otras webs que contienen un paquete de antivirus falso.

Dedicando un poco de tiempo para auditar nuestra web e instalando plugins de seguridad correctamente configurados y actualizados podemos ahorranos sorpresas indeseadas. Vamos a ver cinco herramientas muy útiles para realizar una aditoría de CMS.

Wappalyzer: extensión para Firefox y Google Chrome que permite obtener la tecnología usada por la web, identifica el tipo de CMS utilizado, el servidor web empleado, el frameword de javascript, las aplicaciones empleadas para generar estadísticas de la web. Web: http://wappalyzer.com/.

Flunym0us: herramienta desarrollada en Python por Flu Project que permite realizar operaciones de fuzzing a través de una serie de diccionarios para descubrir plugins y extensiones que se encuentran corriendo en Worpress y Moddle. Web: http://www.flu-project.com/.

CMS Explorer: herramienta desarrollada en perl que muestra los plugins, modulos, temas y componentes que se encuentran corriendo en una web CMS de tipo Drupal, WordPress, Joomla! y Mambo. Como opciones interesantes permite utilizar un proxy para realizar modificaciones en el envió de solicitudes y realizar una comprobación de posibles vulnerabilidades. Web: https://code.google.com/p/cms-explorer/.

Joomscan: potente herramienta desarrollada en perl por OWASP que permite auditar webs desarrollas con Joomla. Permite detectar vulnerabilidades de tipo file inclusion, sql injection, command execution vulnerabilities. Web: http://sourceforge.net/projects/joomscan/.

WPscan: herramienta desarrollada en Ruby que permite auditar a un blog desarrollado con Worpress. Tiene funciones de enumeración de los plugins instalados y realiza una comprobación de sus vulnerabilidades mostrando el exploit para su explotación, permite enumerar los usuarios registrados y realizarles un ataque de fuerza bruta. Muestra la versión de worpress que se encuentra corriendo y las posibles vulnerabilidades que contiene dicha versión. Web: http://wpscan.org/.

Contenido completo en fuente original Dominio Hacker

§ Una respuesta a Herramientas para realizar un pentest a CMS

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Herramientas para realizar un pentest a CMS en Seguridad Informática.

Meta

A %d blogueros les gusta esto: