CMSmap Escaner de vulnerabilidades en Drupal, WordPress y Joomla

Un tema un tanto importante a tener en cuenta, es la seguridad de un sitio web.

A día de hoy, existen multitud de CMS para hacernos la vida un poco más fácil a todos, pero cuando más conocidos son, más a la vista está el código, y con ello más vulnerabilidades se encuentran.

El mejor consejo, es siempre tener los CMS actualizados a la última versión, tanto CMS como módulos, aparte de toda la seguridad del servidor y buenas prácticas a la hora de la programación.

Existe un escaner de vulnerabilidades basado en python llamado CMSmap.

Este escaner funciona con Drupal, WordPress y Joomla y nos da una lista detallada de las vulnerabilidades encontradas y como explotarlas. Si tenemos como explotarlas, podemos resolverlas aplicando parches en el código o actualizando siempre.

Básicamente funciona haciendo peticiones a todos los módulos conocidos de un CMS y intentar explotarlas.

Lo podemos descargar desde gitHub (como no xD).

Para utilizarlo tenemos diferentes opciones:

-t, –target target URL (e.g. ‘https://abc.test.com:8080/’)
-v, –verbose verbose mode (Default: false)
-T, –threads number of threads (Default: 5)
-u, –usr username or file
-p, –psw password or file
-i, –input scan multiple targets listed in a given text file
-o, –output save output in a file
-k, –crack password hashes file
-w, –wordlist wordlist file (Default: rockyou.txt – WordPress only)
-U, –update (C)MSmap, (W)ordpress plugins and themes, (J)oomla components, (D)rupal modules
-h, –help show this help
-f, –force force scan (W)ordpress, (J)oomla or (D)rupal
-F, –fullscan full scan using large plugin lists. Slow! (Default: false)

Por ejemplo:

cmsmap.py -t https://example.com

Realiza un escaneo simple.

 

Con:
cmsmap.py -t https://example.com -f W

Forzamos que el sitio web sea un WordPress.

 

Con:
cmsmap.py -t https://example.com -u admin -p Diccionario.txt

Podemos hacer fuerza bruta para encontrar el login del usuario admin.

 

Y así tenemos una gran variedad de opciones.

Úsalo bajo tu responsabilidad con fines educativos y siempre para hacer el bien.

 

Un saludo – Juanan 😉

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s