Zpět na seznam článků     Číst komentáře (6)     Verze pro tisk

Vyhledávání webů používajících zastaralé CMS

Autor: Jakub Tětek   
9.9.2013

Na internetu je možno najít poměrně velké množství webů používajících zastaralou verzi systémů na správu obsahu, které často obsahují zranitelnosti. Díky těm je někdy i možné získat přístup k administraci webu. V tomto článku ukáži, jak takové weby vyhledávat, jak špatná je situace na internetu a také jak se proti tomu bránit.


Není žádný univerzální postup, kterým jde zjistit, jaký CMS a v jaké verzi na webu běží, proto se budeme muset omezit na meta tag generator. V tomto tagu se u většiny CMS vyskytuje jméno CMS a jeho verze. Ne všechny CMS ale toto umožňují a také je tato vlastnost často deaktivovaná (z bezpečnostních důvodů).

V příkladu si napíšeme jednoduchý python skript, který prochází webové stránky a hledá v nich již zmíňený meta-tag. Skriptu musíme dát seznam webových stránek, které má prohledat. Já jsem použil seznam top milion stránek od Alexy, který současně slouží k tomu, aby neprohledával stránky na které nikdo nechodí.


Skript
  1. import re
  2. import urllib2
  3. from BeautifulSoup import BeautifulSoup
  4.  
  5. instance = "".join(sys.argv[1])
  6. pages = [i.strip().split() for i in open("pages.txt").readlines()]
  7. print "precteno"
  8. for c in pages:
  9.     url = "".join(c)
  10.     try:
  11.         html = urllib2.urlopen("http://" + url).read()
  12.         if '<meta name="generator" content=' in html:
  13.             soup = BeautifulSoup(html)
  14.             version = soup.find("meta", {"name":"generator"})['content']
  15.             print version + " " + url
  16.     except urllib2.HTTPError, err:
  17.         pass
  18.     except Exception,e:
  19.         pass

Tento skript je pomalý a prohledat s ním milion stránek by trvalo přibližně měsíc. Proto jsem udělal multithreadovou verzi kterou můžete najít na githubu.

Výstup ze scriptu můžete přesměrovat do souboru. Poté můžete soubor abecedně seřadit (příkaz sort), čímž dosáhnete i seřazení jednotlivých CMS podle verzí. Situace na webu

Kromě samotného seznamu webů a verzí CMS se dají získat i jiná zajímavá data.


Top 15 CMS
  1. WordPress 3.6
  2. WordPress 3.5.1
  3. WordPress 3.5.2
  4. Joomla! 1.5 - Open Source Content Management
  5. Joomla! - Open Source Content Management
  6. WordPress 3.4.2
  7. WordPress.com
  8. WordPress 3.3.1
  9. Starfield Technologies; Go Daddy Website Builder v6.1.2
  10. Homestead SiteBuilder
  11. WordPress 3.4.1
  12. WordPress 3.5
  13. WordPress 3.2.1
  14. WordPress 3.3.2
  15. Drupal 7

Poměrně překvapivá je Joomla! 1.5 na čtvrtém místě a WordPress 2.7.1 který se se svým 49. místem pořád drží v první padesátce. To ukazuje jak tristní je situace na dnešním webu, protože obě ze zmíněných CMS obsahují kritickou zranitelnost.


Jak ochránit svůj web?

Odstraňte meta-tag generator. U WordPressu je to možné třeba pomocí jednoduchého pluginu.

Nainstalujte si plugin, který bude CMS automaticky updatovat, tak se vám nikdy nestane, že budete mít jeho starší verzi.

Nainstalujte si plugin, který komplexně chrání Váš web. Takové pluginy i často odstraňují meta-tag generator. Pro WordPress mohu doporučit „Secure WordPress“.

Přečtěte si článek „Take 5 Minutes to Make WordPress 10 Times More Secure“. V něm se dočtete, jak zabezpečit WordPress tak, že by ho neměl hacknout žádný z k tomuto účelu stvořených robotů.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 1.11/9

1  2  3  4  5    
(známkování jako ve škole)