viernes, 12 de noviembre de 2010

Juaqueando webs con Joomla [Parte I]

Joomla es un CMS que nos permite crear una pagina web profesional sin necesidad de reinventar la rueda. Solo necesitamos instalarlo en nuestro servidor, configurar algunos detalles y ya tendremos una web lista para llenarla de contenido. Además podemos instalarle gran variedad de componentes, módulos y plugins para incrementar las funcionalidades de la pagina web según nuestras necesidades.

Es quizá por esa gran cantidad de "addons" que hay para Joomla que es uno de los CMS mas usados pero también con mayor cantidad de vulnerabilidades. En realidad la gran mayoría de exploits para Joomla se aprovechan de fallos en los componentes agregados y no tanto del propio sistema.

Por ultimo, quisiera aclarar que a pesar de la gran cantidad de exploits "para Joomla" no podemos decir que Joomla sea inseguro. Seria como decir que un sistema operativo (si ese) es inseguro solo por que los programas que le instalamos podrían ser inseguros.

Detectando webs con Joomla

Determinar si una pagina web usa o no Joomla es relativamente sencillo. Podemos empezar viendo el favicon del site (el logo que aparece en la barra de direcciones). Veríamos algo así:


Pero seguramente que solo los mas descuidados se dejan el favicon por defecto.

Joomla tiene una forma muy peculiar de cargar los componentes y podemos usar eso para reconocer un sitio hecho con joomla. Para cargar un componente, Joomla lo llama en la variable option, así:

http://www.site.com/index.php?option=com_componente

Si vemos ese patrón en un website podemos estar casi seguros que usa Joomla.

En todo caso, siempre podemos intentar cargar un componente nosotros mismos y si nos responde correctamente entonces ¡Bingo! usa Joomla ;)

Podemos probar con esto:

http://www.site.com/index.php?option=com_content&id=-1

que si usa Joomla seguro botara un mensaje de error como este:


Otro componente que podemos probar:

http://www.site.com/index.php?option=com_login

Debería mostrarnos un formulario para iniciar sesión.


Creo que con eso ya tenemos suficiente. Ya con el tiempo verás que reconoces una pagina hecha con Joomla con solo echarle un vistazo.

Como que las imágenes agrandaron un poco el post ¿verdad? Así que... CONTINUARA... xD

Hasta pronto, saludos.

3 comentarios:

  1. Exelente te felicito, esta muy bueno el tutorial. animo adelante sigue asi..

    ResponderEliminar
  2. muchos personas estan migrando al joomla, es algo bueno pero tambien trae sus desventajas, lo digo porque generalemente siempre ecuentro fallas en el intranet..

    ResponderEliminar
  3. De hecho sí, es como todo, tiene ventajas y desventajas. La ventaja es que te ahorras el costo del desarrollo y la desventaja es tener que confiar en que lo que hicieron otros esté bien hecho.

    Un saludo Henry.

    ResponderEliminar