Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

joomscan, un scanner de vulnérabilités pour Joomla




Le projet OWASP JoomScan


OWASP Joomla! Vulnerability Scanner (JoomScan) est un projet open source, développé dans le but d’automatiser la tâche de détection de vulnérabilités et d’assurance de fiabilité dans les déploiements du CMS Joomla. Réalisé en Perl, cet outil permet un scan transparent et sans effort des installations de Joomla, tout en laissant une empreinte minimale grâce à son architecture légère et modulaire. Non seulement il détecte les vulnérabilités offensantes connues, mais il est également capable de détecter de nombreuses erreurs de configuration et de niveau administrateur qui pourraient être exploitées par des adversaires pour compromettre le système. En outre, OWASP JoomScan fournit une interface conviviale et compile les rapports finaux au format texte et au format HTML pour faciliter l’utilisation et minimiser les frais généraux de reporting.

OWASP JoomScan est inclus dans les distributions de Kali Linux.

POURQUOI OWASP JOOMSCAN?


Automatisation ...
* Énumérateur de version
* Énumérateur de vulnérabilités (basé sur la version)
* Énumérateur de composants (1209 plus populaires par défaut)
* Enumérateur de vulnérabilité des composants (basé sur la version) (+ 1030 exploit)
* Détecteur de pare-feu
* Reporting au texte et à la sortie HTML
* Recherche de fichiers journaux courants
* Recherche de fichiers de sauvegarde courants

INSTALLATION


git clone https://github.com/rezasp/joomscan.git
cd joomscan
perl joomscan.pl

ARGUMENTS DE JOOMSCAN


Usage: joomscan.pl [options]

--url | -u <URL> | The Joomla URL/domain to scan.
--enumerate-components | -ec | Try to enumerate components.

--cookie <String> | Set cookie.
--user-agent | -a <user-agent> | Use the specified User-Agent.
--random-agent | -r | Use a random User-Agent.
--timeout <time-out> | set timeout.
--about | About Author
--update | Update to the latest version.
--help | -h | This help screen.
--version | Output the current version and exit.

EXEMPLES D'UTILISATION D'OWASP JOOMSCAN


Faire les vérifications par défaut ...
perl joomscan.pl --url www.example.com
ou
perl joomscan.pl -u www.example.com


Énumérer les composants installés ...
perl joomscan.pl --url www.example.com --enumerate-components
ou
perl joomscan.pl -u www.example.com --ec

Définir le cookie
perl joomscan.pl --url www.example.com --cookie "test=demo;"

Définir le user-agent
perl joomscan.pl --url www.example.com --user-agent "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"
ou
perl joomscan.pl -u www.example.com -a "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"

Définir un user-agent aléatoire
perl joomscan.pl -u www.example.com --random-agent
ou
perl joomscan.pl --url www.example.com -r

Définir le proxy
perl joomscan.pl --url www.example.com --proxy http://127.0.0.1:8080
ou
perl joomscan.pl -u www.example.com --proxy https://127.0.0.1:443

Mettre à jour Joomscan...
perl joomscan.pl --update

PAGE WEB OWASP


https://www.owasp.org/index.php/Category:OWASP_Joomla_Vulnerability_Scanner_Project

REPOSITAIRE DE GIT


https://github.com/rezasp/joomscan

PROBLÈMES


https://github.com/rezasp/joomscan/issues

CHEFS DE PROJET



Introduction à OWASP JoomScan (sur Youtube)



Avertissement


L'utilisation de ce programme ne peut se faire que dans le cadre légal d'un audit de vulnérabilité, basé sur le consentement mutuel. Il est de la responsabilité de l'utilisateur final de ne pas utiliser ce programme dans un autre cadre. SecuriteInfo.com n'assume aucune responsabilité et n'est pas responsable de toute mauvaise utilisation ou de tout dommage causé par ce programme.

Téléchargement



Partager cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com