Den jalan-jalan kat internet, terjumpo lak tool ni. Nengok macam best. Tapi ado beberapo kelemahan la. Hehehe. So thread ni den nak review skit pasal tool ni.
Korang bulih download tool ni kek sini :
http://code.google.com/p/cms-explorer/
Pastikan kek pc korang ado install perl, sobab tool ni ditulis dalam bahaso perl. Ni screen shot den amik dari machine ubuntu den. Den wget(download) tool ni :
Hmm sobolum tu, den install satu add on kek firefox. Namo add ni Wappalyzer . Korang bulih download kek url ni :
https://addons.mozilla.org/en-US/firefox/addon/10229/
Apo yang add on ni akan buek adolah, bilo kita visit sesuatu site, dio akan bagi tahu kito basic application yang digunokan. Cubo nengok gambar bawah ni. Secara otomatik add on ni akan bagitau kito site ni menggunakan joomla. (Quite useless for a experienced pen-tester)
Ok, kembali ke tool tadi, cms-explorer. Tool ini boleh detect theme/template/modules/plugin yang diinstall pado beberapo jenis cms. CMS yang disupport adolah :
Kito jugak leh intgrate tool ni dongan osvdb database. Tapi syarat eh, kito kono create account dan copy api key dio. Pastu savekan dalam folder cms-explorer ni dongan namo ossvdb.key.
Ni adolah contoh scanning yang den lakukan.
Hehehe.. dia dapek tahu plugin apo yang diinstall.
Hmm dia cross check dengan osvdb pastu dio alert dengan vulnerability yang ado dlm osvdb
Overall tool ni ok la untuk buek rough scanning. Dio gunakan konsep crawling untuk dapekkan list plugins yang diinstall. Dio akan baco plugins dari hardcoded file yang datang bersamo dongan tool ni. Jangan percayo sangat bab vulnerable alert yang kuar dari tool ni, banyak false postive. Sebabnya dia hanya cross check nama plugin yang ditemui dengan osvdb, dio takdo buek apo-apo checking terhadap kelemahan yang dijumpai tu.
Den ghaso bro Mi-G, Sis Yana, Sis Awin bulih la gunakan tool ni yo untuk test site yang sedio ado :)
Korang bulih download tool ni kek sini :
http://code.google.com/p/cms-explorer/
Pastikan kek pc korang ado install perl, sobab tool ni ditulis dalam bahaso perl. Ni screen shot den amik dari machine ubuntu den. Den wget(download) tool ni :
Hmm sobolum tu, den install satu add on kek firefox. Namo add ni Wappalyzer . Korang bulih download kek url ni :
https://addons.mozilla.org/en-US/firefox/addon/10229/
Apo yang add on ni akan buek adolah, bilo kita visit sesuatu site, dio akan bagi tahu kito basic application yang digunokan. Cubo nengok gambar bawah ni. Secara otomatik add on ni akan bagitau kito site ni menggunakan joomla. (Quite useless for a experienced pen-tester)
Ok, kembali ke tool tadi, cms-explorer. Tool ini boleh detect theme/template/modules/plugin yang diinstall pado beberapo jenis cms. CMS yang disupport adolah :
- Joomla
- Mambo
- Wordpress
- Drupal
Kito jugak leh intgrate tool ni dongan osvdb database. Tapi syarat eh, kito kono create account dan copy api key dio. Pastu savekan dalam folder cms-explorer ni dongan namo ossvdb.key.
Ni adolah contoh scanning yang den lakukan.
Hehehe.. dia dapek tahu plugin apo yang diinstall.
Overall tool ni ok la untuk buek rough scanning. Dio gunakan konsep crawling untuk dapekkan list plugins yang diinstall. Dio akan baco plugins dari hardcoded file yang datang bersamo dongan tool ni. Jangan percayo sangat bab vulnerable alert yang kuar dari tool ni, banyak false postive. Sebabnya dia hanya cross check nama plugin yang ditemui dengan osvdb, dio takdo buek apo-apo checking terhadap kelemahan yang dijumpai tu.
Den ghaso bro Mi-G, Sis Yana, Sis Awin bulih la gunakan tool ni yo untuk test site yang sedio ado :)
2 comments:
baiklah bro Ghimau, nanti den cubo yo..
tapi sebelum tu den nak tanya uncle google resepi apa den nak masak ari ni..
Iyiana : Aritu den nengok rancangan kid's on 2, dio ado ajar mcm mano nak buek minuman utk sahur..
amik jelly, kurma pastu masukkan dalam susu. Dah siap. Huhuhu..