Sử dụng Joomscan để quét lỗ hổng của Joomla
Joomla là một mã nguồn mở miễn phí được sử dụng phổ biến tại Việt Nam và thế giới. Không có một mã nguồn mở nào là hoàn hảo cả, một mã nguồn mở như Joomla cũng tồn tại các lỗ hổng bảo mật chỉ là chưa có người phát hiện ra thôi. Nếu bạn muốn dùng Joomla lâu dài thì nên quan tâm đến việc vấn đề bảo mật. Có một công cụ có thể trợ giúp bạn trong việc phát hiện các lỗ hổng bảo mật trên Joomla đó chính là Joomscan.
Joomscan là gì?
Joomscan là một công cụ dùng để tìm lỗ hổng bảo mật trên hệ thống quản trị nội dung (CMS) Joomla và được các nhà phát triển (developer) web sử dụng để tìm lỗ hổng bảo mật trên website. Joomscan được viết trên ngôn ngữ Perl. Joomscan phát hiện được các lỗi trên Joomla như SQL Injection, XSS và CSRF. Phiên bản cập nhật của Joomscan có thể phát hiện 550 lỗ hổng bảo mật.
- Quét lỗi bảo mật WordPress với WPScan
- DarkJumper - Security Testing Tool
- Dmitry - Footprinting Tool
- Quét lỗi bảo mật website với Uniscan
Một vài tính năng của Joomscan:
- Tìm kiếm các lỗ hổng bảo mật của Joomla và thành phần (component) của Joomla.
- Xuất kết quả ra định dạng .txt và .html.
- Phát hiện ứng dụng web tường lửa của Joomla.
Cài đặt Joomscan
Bài viết này sử dụng hệ điều hành Kali Linux đã được cài đặt sẵn Joomscan. Riêng đối với hệ điều hành Windows thì bạn cần phải cài đặt Perl thì mới thực thi được Joomscan.
Các lệnh cơ bản sử dụng Joomscan
Đầu tiên, bạn cần cập nhật các lỗi mới nhất của Joomscan, ta đánh lệnh sau:
[code]joomscan update[/code]Để quét lỗ hổng bảo mật của Joomla, ta đánh lệnh sau:
[code]joomscan -u victim.com[/code]Nếu phát hiện được lỗ hổng nào thì ngay tại Vulnerable sẽ là Yes, ngược lại sẽ là No. Ngoài ra, nếu muốn bạn muốn sử dụng proxy khi quét, ta đánh lệnh sau:
[code]joomscan -u victim.com -x địa_chỉ_proxy:cổng[/code]Tổng kết
Joomscan là một công cụ hữu ích giúp bạn phát hiện được lỗ hổng của Joomla. Nếu bạn dùng Joomscan và phát hiện được bất kỳ lỗ hổng nào thì bạn nên cố gắng sửa các lỗ hổng. Sử dụng Joomscan sẽ giúp bạn phần nào giảm bớt được các nguy cơ bảo mật của Joomla.
No comments: