viernes, 22 de febrero de 2013

Auditando Servidores Web Joomla con Metasploit




Muchas veces cuando realizamos alguna Auditoria enfocada hacia Servidores Web, uno de los pasos mas importante que se debe realizar es Information Gathering (Recopilación de Información)  ya que esta es el paso más crítico de una prueba de seguridad de aplicaciones web que puede llevarse a cabo de muchas maneras diferentes, mediante el uso de herramientas públicas (motores de búsqueda), escáners, envío de simples peticiones HTTP o solicitudes especialmente diseñadas.

Cuando se Audita un Servidor Web Joomla, siempre es muy necesario obtener información exacta sobre que versión se encuentra instalada en el servidor, como también los Plugins instalados, esto nos ayudara mucho a determinar que Exploit debemos usar, o ver la manera exacta de explotar las vulnerabilidades, ya que una de las "mejores" formas de ingresar a un Joomla es mediante las vulnerabilidades que se encuentran en los Plugins.

Por ello, en esta entrada se mostraran los 3 módulos que se integran en Metasploit (Joomla Page Scanner, Joomla Plugin Scanner y Joomla Version Scanner) que nos ayudaran mucho a realizar este paso tan importante en nuestras Auditorias.