Un GESTOR DE CONTENIDOS (o Content Management System) es la evolución natural de las clásicas páginas web, las cuales eran costosas de realizar y difíciles de mantener.
Esta evolución ha sido positiva, las nuevas versiones de las tradicionales “páginas webs” son muy cómodas de crear, puede trabajarse con ellas prácticamente sin conocimientos de programación y sobre todo tenemos infinitas posibilidades de ampliación a través de plugins.
Y aunque es cierto que poco tienen que ver ya con aquellas primeras webs, han sabido mantener su filosofía y siguen siendo el estándar de lo que hoy llamamos “Páginas Web”.
Entrando en materia.
Cualquier auditoría (incluyendo auditorías web), debe realizarse “a mano”, como hemos reseñado en varias ocasiones. Sin embargo, en una primera etapa son de gran ayuda determinadas herramientas que nos automatizan la labor un primer estadio de nuestro trabajo. Aplicaciones como Acunetix, Netsparket, Burp Suite o Zaproxy entre otras, son conocidas en el ámbito de estas tareas.
Hoy quiero presentaros otras aplicaciones no tan conocidas y que sin embargo son muy eficaces en los primeros pasos de una auditoría a un CMS. Aunque alguna de ellas ya nos pueda resultar familiar, hay otras que no lo son tanto y que vale la pena tenerlas en nuestro listado de herramientas.
WPScan
La primera herramienta es bastante conocida. Se trata de WordPress Security Scanner. Siendo WordPress el CMS más extendido en internet, no es de extrañar que sea ampliamente conocida y utilizada. Se trata de una aplicación específica para auditorías de WordPress.
Si visualizamos la ayuda que trae incluida, accedemos a un nutrido grupo de opciones de lo más interesantes. Para esta prueba he utilizado los parámetros que os especifico a continuación:
–url Especifica la dirección que queremos auditar.
-o Fichero donde va a guardar los resultados.
–detection-mode mixed, passive, agressive Suelo utilizar la opción por defecto: mixed
-e Opciones de enumeración: podemos escanear los plugins / temas vulnerables, los que están considerados como los “más populares” y otras opciones interesantes. Por defecto escanea todos.
-U Para Fuerza Bruta. Lista de nombres de usuarios que queremos auditar.
-P Para Fuerza Bruta. Lista de contraseñas que queremos auditar.
Entre los resultados hallados encontramos una versión “insegura” de WordPress.
También se consigue información interesante sobre usuarios.
CMSEEK
La segunda herramienta que os aconsejo revisar es CMSEEK. Al contrario que WpScan, es capaz de identificar y auditar varios tipos de CMS, aunque, por mantener la comparativa, voy a seguir auditando el mismo WordPress que en el ejemplo anterior.
Simplemente selecciono la Opción 1, introduzco la web a auditar, y el resto lo hace todo él solo:
Como se puede apreciar en estas capturas, la presentación en pantalla es de lo más correcta, es bastante rápido realizando el análisis, muestra una lista detallada con enlaces y referencias a las vulnerabilidades halladas y por último nos guarda un informe en formato .json
Una gozada.
VulnX
La última herramienta de hoy es VulnX.
Al igual que CMSeek, se trata de una aplicación de carácter general, capaz de descubrir y auditar todo tipo de CMS’s.
Como en anteriores ocasiones, podemos ejecutar la herramienta con el parámetro -h y nos mostrará una ayuda, desde donde podremos elegir las opciones que más nos interesen.
-u URL de la web a auditar.
-o fichero de salida de datos.
-l tipo de CMS a auditar.
-e busca vulnerabilidades y ejecuta los exploits correspondientes.
-w recolecta información de la web.
-d localiza subdominios.
Espero que este pequeño repaso a estas herramientas os puedan ayudar en la auditoría a vuestras webs.
Un saludo.
Raúl Ibilcieta.
Consultor de CiberSeguridad.