Son varios los artículos que hemos publicado en el blog para hablar sobre la importancia de la seguridad en Joomla y que medidas podemos tomar para mejorarla. En esta ocasión os presentamos JoomlaScan, una herramienta desarrollada por Pepelux que nos permitirá realizar un analisis de las posibles vulnerabilidades de seguridad que puede tener un sitio Joomla en base a la versión instalada y los componentes que utiliza.
JoomlaScan se encarga de analizar un sitio Joomla de forma remota para tratar de averiguar que versión tiene instalada, pero además genera una lista de los componentes ,que sea capaz de identificar, que están instalados en el sitio. Actualmente la última versión de la herramienta es la 1.3. La he estado probando en varios sitios y parece que está desactualizada, por lo que no detectará las últimas versiones publicadas de Joomla. Sin embargo sigue siendo una excelente herramienta para estudiar la seguridad de sitios con versiones anteriores instaladas.
Según cuenta Pepelux en su blog:
El método usado consiste en comprobar una serie de ficheros que varían de una versión a otra, así como otros que contienen el ID de la última revisión. En resumen, realizando muchas verificaciones en varios ficheros se llega a acortar el margen entre versiones hasta dar con la exacta.
Además la aplicación recopila los avisos publicados, que hacen referencia a Joomla, de securityfocus.com para que después de la detección de la versión y los componentes instalados se muestren los posibles bugs que les puedan afectar.
Esta herramienta esta disponible para Windows, mediante una aplicación instalable, y para Linux, con un script en Perl. Si utilizas el sistema operativo Windows 7 tendrás que ejecutar la aplicación en modo compatible con Windows XP (Botón derecho sobre el icono y pulsas en la opción Solucionar problemas de compatibilidad)
En la siguiente captura de pantalla lanzada sobre un sitio Joomla ha identificado unos cuantos componentes que hay instalados, así como la utilización de RSFirewall. Muestra una serie de consejos de seguridad y las posibles vulnerabilidades recopiladas de securityfocus.com
Descarga| Pepelux.org