Schwachstellen-Scanner für Joomla

Joomla ist eine der meist verbreitesten Webanwendung, da sich ziemlich einfach und schnell eine komplette Website installieren lässt.

Da es auch noch kostenlos ist, ist es sehr lukrativ für Vereine, Privatpersonen und kleine Unternehmen. Allerdings kommt doch nach der Installation sehr oft die Aktualität und die Sicherheit zu kurz.

Joomla! selbst wird relativ häufig aktualisiert, da die Community sehr groß ist, jedoch kann man das nicht für jede third-party Erweiterung sagen.

Daher stelle ich heute joomscan vor. Dieses Perl-Programm hat derzeit über 600 Schwachstellen gelistet, die es gegen die gewünschte Joomla!-Installation checkt. Bereits vor kurzem habe ich einen solchen Scanner für WordPress vorgestellt.

Denn: gibt es Schwachstellen im System kann das zu Angriffe gegen das CMS, gegen die Datenbank, gegen die Webserver-Software oder gegen das Betriebssystem selbst führen. (Auf einem schlecht konfigurierten Server ist per SQL-Injection ein Herunterfahren des Servers machbar.)

Joomscan ist Bestandteil der Sicherheitsdistribution Backtrack oder kann auf Sourceforge kostenfrei heruntergeladen werden.

Die Benutzung ist sehr einfach und erfordert keine besonderen Kenntnisse, um sich Sicherheitslücken in Joomla aufzulisten:

Leider erkennt das Programm (noch) keine 2.5er Version von Joomla, eine 1.5er Version wurde mit Minor-Release korrekt erkannt.

Den Output habe ich für eine bessere Übersicht gekürzt. So werden Schwachstellen und mögliche Angriffsvektoren aufgelistet, auch wenn sich joomscan nicht ganz sicher ist. Lieber eine Schwachstelle zur viel als zu wenig vermuten. Dazu stellt der Output meist einen Check bereit, um beispielsweise eine SQL-Injection selbst zu testen (siehe Nummer 32).

Bei gemeldeten Schwachstellen sollte man alle Updates einspielen, ggf. Erweiterungen abschalten oder bei kritischen Anwendungen eine Web Application Firewall vorschalten.

Achtung:
Die Durchführung eines Scans gegen eine Webseite, deren Besitzer man nicht selbst ist oder deren Erlaubnis man nicht besitzt, fällt in den Geltungsbereich des §202c StGB.

Disclaimer:
Ich gebe diese Informationen nur zu Zwecken der Forschung, des Selbstschutzes, der Weiterbildung und aus Interesse an IT-Security weiter. Ich bin nicht verantwortlich, sollten Nutzer diese Informationen unrechtmäßig oder unethisch einsetzen.

3 Gedanken zu „Schwachstellen-Scanner für Joomla

  1. Was bei dem Script unbedingt noch rein sollte, ist ein konfigurierbares Delay zwischen den einzelnen Zugriffen auf das Target. Ich habe gestern nach einem Servereinbruch mittels Joomscan schauen wollen, ob die Jungs durch eine bekannte Lücke reinkamen, und nach einem Bruchteil der Tests hat der Hoster dann meine gottseidank dynamische IP geblockt 🙂

    1. Das ist doch auch was positives von deinem Provider/Hoster. Mich hat bislang niemand daran gehindert, meine eigenen Seiten (bzw. in meiner Verwaltung) zu scannen…

      Aber Recht hast du, ein Delay wäre wirklich schon sinnvoll. Grade wenn man hinter Firewalls oder Sicherheitsgateways mit IDP/IPS greifen möchte.

  2. Jau, die Jungs sind richtig fit und sogar die Hotline ist echt kompetent. Ich brauch nie lange nachdenken, wenn mich jemand nach einer Empfehlung in dem Bereich fragt *g* Und mit der zunehmenden Wichtigkeit (und somit auch Verbreitung) von FW/IDS/IPS wird sich die Problematik häufiger stellen. Ich kenne einen amerikanischen Anbieter von Malware-Scans etc. der explizit auf Shared Hoster abzielt und mit denen auch Partnerschaften eingeht – da laufen die Scans zwar ewig aber dafür mit einer Intensität die auch die älteste Möhre problemlos bewältigt und auch bei den zweifellos vorhandenen Monitoring-Systemen nur wenig Stress macht. Wenn ich fit genug in Perl wäre, hätte ich mir das vermutlich inzwischen schon eingebaut 🙂

Schreibe einen Kommentar