رفتن به مطلب
sara-mahfeli

جوملا و امنیت و ه-ک در سایت

پست های پیشنهاد شده

 درود

اين پارت يك سرفصل هاشم اينا هستن :

1 براي چه اين مقاله را بخوانيم؟
2 مقدمه اي بر جوملا
3 کمي در عمق جوملا
4 تشخيص جوملا


1_ برای چه این مقاله را بخوانیم؟

این مقاله دستورالعمل برای تست یک سایت مبتنی بر جوملا نوشته شده...
نوشتن این مقاله صرفا به منظور اگاه نگه داشتن مردم به طور کلی از امنیت و حفاظت از اطلاعات خود است
در این مقاله من متد های مختلف که مورد استفاده در جوملا را شرح میدهم
این راهنمایی به شما کمک خواهد کرد در ضمینه یادگیری تنظیمات اولیه و پایه ای امنیت و تست اسیب پذیری و
غیره در جوملا که بیشتر به شما در ضمینه تست امنیت و کانفیگ (از لحاظ امنيتي) هر چه بهتر یک سایت
در این مقاله من شما را راهنمایی میکنم تا هر چه بهتر با هکر ها مقابله کنید...

2_ مقدمه ای بر جوملا

cms ها براي توسع وب براي افراد عادي ساخته شده اند مانند وردپرس و دروپال و جوملا و غیره که مشتری های خاص خود را دارند...

جوملا هم مثل تمام اینها مشتری های خاص خود را دارد مشتری ها از نصب اسان و محیط راحت و ... جوملا همواره تعریف میکنند

و از ان راضی هستند و غیره...

یکی دیگر از نکاتی که باید در ذهن نگه داشته شود وجود حملات است ایا جوملا میتواند از پس این حملات براید

خب همواره سایت ها روی سرور ها قرار دارند و این خود یک تهدید برای کشور است مثلا اگر یک سایت جوملا روی یک سرور ه-ک شود بقیه سایت ها هم مورد تحدید قرار میگیرند

دیدگاه باید این باشد که سرور یا سایت مهم است نه سایت بازی و دانلود ...


هنگامی که ما در مورد امنیت صحبت میکنیم بخصوص جوملا باید تمرکز را در هر دو چهارچوب جوملا و شهرتش را بار دیگر بررسی کرد

با این حال جوملا خود را در اینترنت از لحاظ پایداری در شرایط حمله کم و پیش اثبات کرده وژايداري خود را نشان داده البته بحث حمله ی ما حملات جدی نه در حد خیلی بالا است مانند: XSS,SQL,LFI

 

3_ کمی در عمق جوملا

بعد از نصب جوملا در میزبان خود اگر شما به دایرکتور کتابخانه بروید و نگاهی به

phpinputfilter / inputfilter.php

بیندازید مشاهده خواهید کرد مشاهده خواهید کرد کدی را که کدها به روش های مختلف را قیلطر میکند و کد های مخرب را با لیست سیاه جوملا درگیر میکند

این نکته را میتوان یکی از بهترین راه های مقابل با اسیب پذیری های معرفي كرد که به شیوه ای بسیار زیبا در جوملا استفاده شده

توضیح طریقه شناسایی در جوملا بسیار جالب است به ما میگوید که یک قیلطر مخرب در کد اجرا شده بطوری میخواد مثلا

فیلتری را بایپس کند و جوملا اجازه عبور نخواهد داد میشود بسیار کوتاه و دقیق و ساده گفت هر چیزی که شما برای بایپس در ذهن دارید كاملا بيهوده بوده چون در كتابخانه فلتر ميشود

این یک ایده کلی است که می تواند برای دور زدن قیلطر هر پلت فرمی استفاده شود

البته گفتنی است این ایده هم زاده و پرداخته ذهن انسان است و بازم بایپس میشه سخت نگیرید اینا گفته ی شرکت بود یخورده زیادی بلوف میزنن

4_ تشخیص جوملا


هنگامی که ما از شناسایی یک سایت صحبت میکنیم که ایا جوملا است یا نه باید بگوییم که کاملا اسان است
میتوان از ابزار های مختلف استفاده کرد یا دستی پیدا کرد

تست دستی

1_ چک کردن مقدار فایل های غیر ضروری مانند (Joomla.xml، readme.txt و htaccess.txt ) مقادیر خوبی در این فایل ها برای شناسایی وجود دارد
2_ تلاش برای پیدا کردن فایل های پیکر بندی مثل configuration.php سایت این برای اونایی که موقع سیملینک نمیدونن تارگت چیه
3_ گشتن در مسیر های لاگین ادمین مانند (administrator/index.php) اگر مسیر شما درست باشد صفحه لاگین می اید که در ان دنبال لوگو یا ارم باشید
4_ جوملا پلاگین های خود را به این صورت فراخوانی میکند (=index.php?option) و بعضا در هدر سایت اطلاعاتی در مورد نسخه میده

تست خودکار با ابزار

1_ cms explorer یکی از نر افزار های برای فاش کردن مسیرهایی است که معمولا کاربران نمی بینند مانند ماژول ها و ...

طریقه کار هم به صورت زیر خواهد بود

$ ./cms-explorer.pl –url <your_target_site> -type Joomla

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

به گفتگو بپیوندید

هم اکنون می توانید ارسال داشته باشید و بعد ثبت نام خود را در سایت کامل نمایید. اگر حساب کاربری در سایت دارید، جهت ارسال با حساب کاربری خود هم اکنون وارد سایت شوید

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.


×
×
  • افزودن...