JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

Review Software ต่างๆ ส่วนเสริม Joomla , phpBB, Wordpress, magento และอื่นๆ

Moderator: mindphp, ผู้ดูแลกระดาน

ภาพประจำตัวสมาชิก
tsukasaz
PHP VIP Members
PHP VIP Members
โพสต์: 9714
ลงทะเบียนเมื่อ: 18/04/2012 9:39 am

JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

โพสต์โดย tsukasaz » 13/12/2018 2:24 pm

รูปภาพ

OWASP Joomla! Vulnerability Scanner หรือ JoomScan เป็นเครื่องมือสำหรับตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ ซึ่ง Joomla เป็นระบบบริหารจัดการเนื้อหาบนเว็บไซต์ (CMS) ที่ได้รับความนิยมจากผู้ใช้งานจำนวนมาก มีการนำไปพัฒนาเป็นระบบต่างๆ ทั้งแบบส่วนบุคคลและในส่วนธุรกิจ โดยเมื่อเว็บไซต์ออนไลน์อยู่บนอินเตอร์เนตที่สามารถเข้าถึงได้จากทุกที่แล้ว เรื่องระบบความปลอดภัยถือเป็นสิ่งสำคัญ โดยเฉพาะเว็บไซต์ที่มีผู้ใช้งานจำนวนมากหรือเว็บไซต์ของธุรกิจ จะต้องมีการตรวจสอบข้อผิดพลาดและหาช่องโหว่ของระบบที่อาจจะทำให้ถูกโจมตีจากผู้ไม่หวังดี ซึ่งในกระบวนการนี้อาจจะต้องใช้ผู้เชี่ยวชาญเฉพาะด้านในการตรวจสอบ หรือถ้าไม่มีอาจจะใช้เครื่องมือช่วยตรวจสอบระบบ นั่นคือตัว JoomScan นั่นเอง

JoomScan เป็นเครื่องมือโอเพ่นซอร์ส (Open Source) ที่สามารถนำไปใช้งานได้แบบไม่มีค่าใช้จ่าย พัฒนาจากภาษา Perl โดยมีจุดประสงค์เพื่อใช้สำหรับตรวจสอบช่องโหว่และเพิ่มความน่าเชื่อถือให้กับระบบของ Joomla การทำงานจะเรียกใช้ Perl ผ่าน command หน้าจอหลักของเครื่องมือจะออกแบบมาให้สามารถใช้งานได้ง่าย และการทำงานสามารถทำได้อย่างรวดเร็ว ขนาดไฟล์ของตัวเครื่องมือมีขนาดเล็กไม่กินพื้นที่ นอกจากนี้หลังจากตรวจสอบระบบเสร็จจะมีการสร้างไฟล์รายงานเป็น Text และ HTML เพื่อความสะดวกในการนำข้อมูลไปใช้ประโยชน์ต่อไป

ความสามารถหลักของ JoomScan
- ตรวจสอบเวอร์ชั่นของ Joomla
- ตรวจสอบช่องโหว่ทั่วไป
- ตรวจสอบ Component บนระบบ
- ตรวจสอบช่องโหว่ของ Component
- ตรวจจับ Firewall
- ระบบรายงานเป็น Text กับ HTML
- ระบบค้นหาไฟล์ Log
- ระบบค้นหาไฟล์ Backup

เว็บไซต์หลัก https://www.owasp.org/index.php/Categor ... er_Project
ดาวน์โหลดได้ที่ https://github.com/rezasp/joomscan/releases

หน้าจอ JoomScan
OWASP.png
OWASP.png (29.05 KiB) เปิดดู 729 ครั้ง



การใช้งาน JoomScan

เริ่มต้นให้เข้าไปดาวน์โหลดเวอร์ชั่นล่าสุดได้ที่ https://github.com/rezasp/joomscan/releases ในตัวอย่างเป็นเวอร์ชั่น 0.0.7
guide01.png
guide01.png (93.43 KiB) เปิดดู 723 ครั้ง


ไฟล์ดาวน์โหลดจะเป็น zip ให้แตกไฟล์ ในตัวอย่างจะแตกไว้ในไดร์ D จะได้ไฟล์ตามภาพ
guide02.png
guide02.png (79 KiB) เปิดดู 723 ครั้ง


เปิด command ขึ้นมา พิม perl -v เพื่อทดสอบก่อนว่าสามารถใช้ perl ได้หรือไม่ ถ้าใช้ได้จะแสดงผลตามภาพ ถ้ายังไม่มีให้ดาวน์โหลดมาติดตั้งได้ที่ https://www.perl.org/get.html
guide03.png
guide03.png (80.23 KiB) เปิดดู 723 ครั้ง


ใช้คำสั่ง command เข้าไปที่โฟลเดอร์ของ JoomScan ก่อน จากนั้นพิมพ์ perl joomscan.pl จะแสดงผลตามภาพ
guide04.png
guide04.png (96.22 KiB) เปิดดู 723 ครั้ง


ใช้คำสั่งอย่างง่ายสำหรับการตรวจสอบเว็บ พิมพ์ perl joomscan.pl -u ตามด้วยชื่อเว็บไซต์ เช่น perl joomscan.pl -u http://joomla3.mindphp.com
guide05.png
guide05.png (115.16 KiB) เปิดดู 723 ครั้ง


หลังจากตรวจสอบเว็บไซต์เสร็จแล้วจะได้ไฟล์รายงานเป็น Text กับ HTML
ตัวอย่างไฟล์ HTML
guide06.png
guide06.png (137.99 KiB) เปิดดู 723 ครั้ง

ตัวอย่างไฟล์ Text
guide07.png
guide07.png (287.84 KiB) เปิดดู 723 ครั้ง
The last bug isn't fixed until the last user is dead. (Sidney Markowitz, 1995)

ย้อนกลับไปยัง

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: 4 และ บุคคลทั่วไป 0 ท่าน