Minha monografia da pós está sendo realizada baseada no problema "Segurança em servidores web" e a cada dia me espanto com as novidades. O analista que trabalha comigo no Exército,  retornou de um curso de segurança realizado em São Paulo e teve contato com o OWASP. Sabe o que ele faz? Scaneia vulnerabilidades no seu website Joomla! Vai continuar com "medinho" de atualizar sua versão?

Visitei o projeto achando que ia encontrar algo no sentido: "vamos f... o Joomla!", mas  gostei muito do que ví. Tanto que já os coloquei no link parceiros pois penso ser fundamental que todos os Joomleiros! conheçam e usem esta ferramenta de forma preventiva, pelo bem do CMS Joomla! Vamos à descrição do Joomla, segundo o website do projeto OWASP:

(...)

Joomla é provavelmente o CMS mais amplamente utilizado mundo a fora, devido à sua flexibilidade, interface com o usuário, extensibilidade para implementar novas funcionalidades e etc...

Assim, observando as suas vulnerabilidades e acrescentando vulnerabilidades com o "KB scanner Joomla" ajudamos os desenvolvedores web e webmasters a ajudar a identificar possíveis falhas de segurança em seus websites implantados com Joomla!. Nenhum scanner de segurança na web é dedicado apenas um CMS.

Os seguintes recursos estão disponíveis no OWASP.

* Sondagem da versão atual do seu Joomla! (o scanner pode dizer se o alvo está executando a versão 1.5.12 em diante)
* Detecção comum do Joomla! baseado na aplicação web e firewall
* Procurar as vulnerabilidades conhecidas do Joomla! e seus componentes
* Reportagem de saída em Texto e HTML
* Capacidade de atualização imediata via scanner ou svn

(..)

(*) Quem quiser participar do projeto, é bem-vindo(a) pelo jeito.

Nosso analista, Cap Alexandre, testou e já está utilizando em nossa intranet. Seguindo a ideologia do SL, disponibilizou um tutorial de instalação do OWASP que é livre e desenvolvido em perl. Agradecemos em nome de todos os usuários do Portal JB, a disponibilidade em compartilhar seu conhecimento com o Joomla! Brasília.

Vamos ao tuto:

REQUISITOS

Sistema Operacional GNU/LINUX

ADQUIRINDO O PROGRAMA

1) Faça o download no website (http://yehg.net/lab/pr0js/files.php/joomscan-latest.zip) e descompacte o arquivo zip ($ unzip file) na raiz do seu website; e

2) Acesse o diretório e dê permissão de execução no arquivo joomscan.pl ($ chmod +x joomscan.pl)

USO

Em primeiro lugar, atualize a base de dados do scanner

$ ./joomscan.pl update

O uso básico do scanner é:

$ ./joomscan.pl -u http://seusite.com.br

(*) O joomscan fará análise do seu site.


Parâmetros

Usage:    ./joomscan.pl -u <string> -x proxy:port

-u <string>    = joomla Url

==Optional==

-x <string:int>  = proxy to tunnel
-c <string>      = cookie (name=value;)
-g "<string>"    = desired useragent string(within ")
-nv              = No Version fingerprinting check
-nf              = No Firewall detection check
-nvf/ -nfv       = No version+firewall check
-pe              = Poke version only and Exit
-ot              = Output to Text file (target-joexploit.txt)
-oh              = Output to Html file (target-joexploit.txt)
-vu              = Verbose (output every Url scan)
-sp              = show completed Percentage


Créditos do tutorial OWASP:
Alexandre Antonio Antunes de Almeida
Bel. Matemática Computacional
Especialista em Engenharia de Software
Analista de Sistemas - Exército Brasileiro