เว็บบอร์ด PHP เว็บส่งเสริมการเรียนรู้ Hosting CRM ERP Server Programming ถาม-ตอบปัญหา

เว็บบอร์ด PHP ใช้งานจริงใน ธุรกิจ ด้วยเทคโนโลยี Ajax HTML5 Framework SQL CMS CRM ERP Hosting
https://www.mindphp.com/forums/

OWASP - JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

https://www.mindphp.com/forums/viewtopic.php?t=52224

หน้า 1 จากทั้งหมด 1

OWASP - JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

โพสต์แล้ว: 13/12/2018 2:24 pm
โดย tsukasaz
รูปภาพ

OWASP Joomla! Vulnerability Scanner หรือ JoomScan เป็นเครื่องมือสำหรับตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ ซึ่ง Joomla เป็นระบบบริหารจัดการเนื้อหาบนเว็บไซต์ (CMS) ที่ได้รับความนิยมจากผู้ใช้งานจำนวนมาก มีการนำไปพัฒนาเป็นระบบต่างๆ ทั้งแบบส่วนบุคคลและในส่วนธุรกิจ โดยเมื่อเว็บไซต์ออนไลน์อยู่บนอินเตอร์เนตที่สามารถเข้าถึงได้จากทุกที่แล้ว เรื่องระบบความปลอดภัยถือเป็นสิ่งสำคัญ โดยเฉพาะเว็บไซต์ที่มีผู้ใช้งานจำนวนมากหรือเว็บไซต์ของธุรกิจ จะต้องมีการตรวจสอบข้อผิดพลาดและหาช่องโหว่ของระบบที่อาจจะทำให้ถูกโจมตีจากผู้ไม่หวังดี ซึ่งในกระบวนการนี้อาจจะต้องใช้ผู้เชี่ยวชาญเฉพาะด้านในการตรวจสอบ หรือถ้าไม่มีอาจจะใช้เครื่องมือช่วยตรวจสอบระบบ นั่นคือตัว JoomScan นั่นเอง

JoomScan เป็นเครื่องมือโอเพ่นซอร์ส (Open Source) ที่สามารถนำไปใช้งานได้แบบไม่มีค่าใช้จ่าย พัฒนาจากภาษา Perl โดยมีจุดประสงค์เพื่อใช้สำหรับตรวจสอบช่องโหว่และเพิ่มความน่าเชื่อถือให้กับระบบของ Joomla การทำงานจะเรียกใช้ Perl ผ่าน command หน้าจอหลักของเครื่องมือจะออกแบบมาให้สามารถใช้งานได้ง่าย และการทำงานสามารถทำได้อย่างรวดเร็ว ขนาดไฟล์ของตัวเครื่องมือมีขนาดเล็กไม่กินพื้นที่ นอกจากนี้หลังจากตรวจสอบระบบเสร็จจะมีการสร้างไฟล์รายงานเป็น Text และ HTML เพื่อความสะดวกในการนำข้อมูลไปใช้ประโยชน์ต่อไป

ความสามารถหลักของ JoomScan
- ตรวจสอบเวอร์ชั่นของ Joomla
- ตรวจสอบช่องโหว่ทั่วไป
- ตรวจสอบ Component บนระบบ
- ตรวจสอบช่องโหว่ของ Component
- ตรวจจับ Firewall
- ระบบรายงานเป็น Text กับ HTML
- ระบบค้นหาไฟล์ Log
- ระบบค้นหาไฟล์ Backup

เว็บไซต์หลัก https://www.owasp.org/index.php/Categor ... er_Project
ดาวน์โหลดได้ที่ https://github.com/rezasp/joomscan/releases

หน้าจอ JoomScan
OWASP.png
OWASP.png (29.05 KiB) Viewed 3432 times

การใช้งาน JoomScan

เริ่มต้นให้เข้าไปดาวน์โหลดเวอร์ชั่นล่าสุดได้ที่ https://github.com/rezasp/joomscan/releases ในตัวอย่างเป็นเวอร์ชั่น 0.0.7
guide01.png
guide01.png (93.43 KiB) Viewed 3426 times
ไฟล์ดาวน์โหลดจะเป็น zip ให้แตกไฟล์ ในตัวอย่างจะแตกไว้ในไดร์ D จะได้ไฟล์ตามภาพ
guide02.png
guide02.png (79 KiB) Viewed 3426 times
เปิด command ขึ้นมา พิม perl -v เพื่อทดสอบก่อนว่าสามารถใช้ perl ได้หรือไม่ ถ้าใช้ได้จะแสดงผลตามภาพ ถ้ายังไม่มีให้ดาวน์โหลดมาติดตั้งได้ที่ https://www.perl.org/get.html
guide03.png
guide03.png (80.23 KiB) Viewed 3426 times
ใช้คำสั่ง command เข้าไปที่โฟลเดอร์ของ JoomScan ก่อน จากนั้นพิมพ์ perl joomscan.pl จะแสดงผลตามภาพ
guide04.png
guide04.png (96.22 KiB) Viewed 3426 times
ใช้คำสั่งอย่างง่ายสำหรับการตรวจสอบเว็บ พิมพ์ perl joomscan.pl -u ตามด้วยชื่อเว็บไซต์ เช่น perl joomscan.pl -u http://joomla3.mindphp.com
guide05.png
guide05.png (115.16 KiB) Viewed 3426 times
หลังจากตรวจสอบเว็บไซต์เสร็จแล้วจะได้ไฟล์รายงานเป็น Text กับ HTML
ตัวอย่างไฟล์ HTML
guide06.png
guide06.png (137.99 KiB) Viewed 3426 times
ตัวอย่างไฟล์ Text
guide07.png
guide07.png (287.84 KiB) Viewed 3426 times

Re: OWASP - JoomScan เครื่องมือตรวจสอบหาช่องโหว่ของระบบ Joomla แบบอัตโนมัติ

โพสต์แล้ว: 14/09/2021 1:12 am
โดย mindphp
อัพเดดล่าสุด เมื่อสามเดือนที่แล้ว
- สามารถ เพิ่ม component ที่จะตรวจสอบเข้าไปได้เองที่
ที่ไฟล์
exploit/components.pl
เวลาทั้งหมด UTC+07:00
หน้า 1 จากทั้งหมด 1

Powered by phpBB® Forum Software © phpBB Limited

Thai language by Mindphp.com & phpBBThailand.com