Minha monografia da pós está sendo realizada baseada no problema "Segurança em servidores web" e a cada dia me espanto com as novidades. O analista que trabalha comigo no Exército, retornou de um curso de segurança realizado em São Paulo e teve contato com o OWASP. Sabe o que ele faz? Scaneia vulnerabilidades no seu website Joomla! Vai continuar com "medinho" de atualizar sua versão?
Visitei o projeto achando que ia encontrar algo no sentido: "vamos f... o Joomla!", mas gostei muito do que ví. Tanto que já os coloquei no link parceiros pois penso ser fundamental que todos os Joomleiros! conheçam e usem esta ferramenta de forma preventiva, pelo bem do CMS Joomla! Vamos à descrição do Joomla, segundo o website do projeto OWASP:
(...)
Joomla é provavelmente o CMS mais amplamente utilizado mundo a fora, devido à sua flexibilidade, interface com o usuário, extensibilidade para implementar novas funcionalidades e etc...
Assim, observando as suas vulnerabilidades e acrescentando vulnerabilidades com o "KB scanner Joomla" ajudamos os desenvolvedores web e webmasters a ajudar a identificar possíveis falhas de segurança em seus websites implantados com Joomla!. Nenhum scanner de segurança na web é dedicado apenas um CMS.
Os seguintes recursos estão disponíveis no OWASP.
* Sondagem da versão atual do seu Joomla! (o scanner pode dizer se o alvo está executando a versão 1.5.12 em diante)
* Detecção comum do Joomla! baseado na aplicação web e firewall
* Procurar as vulnerabilidades conhecidas do Joomla! e seus componentes
* Reportagem de saída em Texto e HTML
* Capacidade de atualização imediata via scanner ou svn
(..)
(*) Quem quiser participar do projeto, é bem-vindo(a) pelo jeito.
Nosso analista, Cap Alexandre, testou e já está utilizando em nossa intranet. Seguindo a ideologia do SL, disponibilizou um tutorial de instalação do OWASP que é livre e desenvolvido em perl. Agradecemos em nome de todos os usuários do Portal JB, a disponibilidade em compartilhar seu conhecimento com o Joomla! Brasília.
Vamos ao tuto:
REQUISITOS
Sistema Operacional GNU/LINUX
ADQUIRINDO O PROGRAMA
1) Faça o download no website (http://yehg.net/lab/pr0js/files.php/joomscan-latest.zip) e descompacte o arquivo zip ($ unzip file) na raiz do seu website; e
2) Acesse o diretório e dê permissão de execução no arquivo joomscan.pl ($ chmod +x joomscan.pl)
USO
Em primeiro lugar, atualize a base de dados do scanner
$ ./joomscan.pl update
O uso básico do scanner é:
$ ./joomscan.pl -u http://seusite.com.br
(*) O joomscan fará análise do seu site.
Parâmetros
Usage: ./joomscan.pl -u <string> -x proxy:port
-u <string> = joomla Url
==Optional==
-x <string:int> = proxy to tunnel
-c <string> = cookie (name=value;)
-g "<string>" = desired useragent string(within ")
-nv = No Version fingerprinting check
-nf = No Firewall detection check
-nvf/ -nfv = No version+firewall check
-pe = Poke version only and Exit
-ot = Output to Text file (target-joexploit.txt)
-oh = Output to Html file (target-joexploit.txt)
-vu = Verbose (output every Url scan)
-sp = show completed Percentage
Créditos do tutorial OWASP:
Alexandre Antonio Antunes de Almeida
Bel. Matemática Computacional
Especialista em Engenharia de Software
Analista de Sistemas - Exército Brasileiro
Uma vez que o website foi completamente testado, no ambiente de teste, você vai precisar implantá-lo em um ou mais servidores de produção. A transição do servidor de teste (esteja ele local ou não)é uma tarefa que exige uma atenção especial e basicamente é composta de ações a serem tomadas em ordem cronológica para que de tudo certo. 
