Obtén mas información de los CMS para los procesos de pentesting
Hola!
Muy buenas a todos/as!
Hoy vamos con una entrada cortita sobre la instalación de los CMS por defecto y como encontrar cierta información útil.
Cuando se hace una auditoría web se necesita conseguir información sobre la web que se va ha hacer el pentest web. En el caso de los CMS las configuraciones por defecto nunca son buenas, así que se puede obtener información. Además en el caso de WordPress hay un truquito para enumerar usuarios.
En WordPress para saber que versión de WordPress está instalada basta con llamar al archivo readme.html.
He instalado una versión de prueba en un servidor, para acceder
http://ejemplo_wordpress.com/readme.html
Para la enumeración de usuarios, es tan fácil como hacer:
http://ejemplo_wordpress/?author=1
Esto en la mayoría de casos nos daría el usuario admin.
Ahora iremos con Drupal, en Drupal para la enumeración de usuarios podemos hacer
http://ejemplo_de_drupal/admin/views/ajax/autocomplete/user/seifreed
Esto es un pequeño ejemplo de lo que se puede llegar a encontrar hay otra informacion que viene por defecto, existen diferentes métodos para fortificar estos CMS, además de nunca usar instalaciones por defecto.
Un saludo a todos/as!
Project Pier, herramienta de colaboración online
Hola!
Muy buenas a todos/as!
Es posible que, en ocasiones necesitemos de alguna herramienta de colaboración online, para hacer proyectos por ejemplo.
Project Pier es un “CMS” que se instala en un servidor web con soporte PHP, apache y MySQL.
Se puede descargar de aquí:
Veamos los pasos de instalación:
Ahora nos salen los requerimientos para poder instalar Project Pier,
Los requerimientos para instalar Project Pier los cumplimos. Seguimos adelante
introducimos los datos de la base de datos para instalar el CMS colaborativo.
Ya está instalado Project Pier, ahora le echaremos un vistazo
Primero nos hacemos nuestro usuario, para poder entrar en la aplicación.
Elegimos el idioma, ponemos el usuario y password, y ya podemos entrar a la aplicación
Podemos ver los items que hay ahora en la aplicación, y creamos un nuevo proyecto:
Muy bien y hasta aquí la herramienta de trabajo colaborativo
Un saludo
Open Conference systems- Crea tus conferencias
Hola!
Muy buenas a todos/as!
Con aplicaciones de código abierto podemos obtener diferentes resultados para aquellos servicios que necesitemos.
Este es el caso, de Open Conference Systems. Con este CMS de código abierto, podremos organizar aquellos eventos/conferencias, gestionar a la gente que vaya a asistir, si han de firmar un documento el envío del mismo etc…
Podemos descargarlo de su página
Descargar Open Conference Systems
Para la instalación de Open Conference necesitaremos los siguientes requisitos:
System Requirements ------------------- Recommended server requirements: * PHP >= 4.2.x (including PHP 5.x); Microsoft IIS requires PHP 5.x * MySQL >= 3.23.23 (including MySQL 4.x) or PostgreSQL >= 7.1 (including PostgreSQL 8.x) * Apache >= 1.3.2x or >= 2.0.4x or Microsoft IIS 6 * Operating system: Any OS that supports the above software, including Linux, BSD, Solaris, Mac OS X, Windows
Comenzamos con la instalación,
Si queremos cambiar el idioma a la derecha podremos cambiarlo.
Seguimos,
Rellenamos los datos de la base de datos, usuarios etc…
Nota: Sería importante recalcar que por defecto el algoritmo de cifrado de la contraseña de la base de datos la hace en MD5, podemos cambiarla a SHA1 si nuestra versión de PHP lo soporta,
Podemos comprobar que la instalación es muy sencilla,
Una vez hayamos acabado la instalación, ya podremos iniciar sesión en la plataforma,
Aquí tenemos las opciones como Administrador que podremos llevar a cabo, crearemos un evento de prueba y le cambiaremos el nombre al sitio
Aquí ponemos las opciones que mas nos gusten,
El sitio queda ahora con ese nombre, ahora podemos crear un evento,
Creamos el evento con los datos que nos pide y la conferencia quedará creada
Y hasta aquí por hoy, espero que si queréis le podáis dar uso.
Un saludo
Consejos de una instalación de WordPress segura I
Hola!
Muy buenas a todos/as!
WordPress ese CMS tan utilizado por tanta gente, pero que a veces no se tiene cuidado, ya se por desconocimiento, o por dejadez, o por tener las herramientas a mano. Hay muchas instalaciones by default, y que se podrían mejorar. Mediante este POST veremos como mejorar la seguridad de nuestro CMS favorito.
Previo a la instalación
Abrimos el fichero wp-config.php y nos vamos hacia la línea q ue pone:
Claves únicas de autenticación:
Aquí tenemos una serie de campos por rellenar que son las claves de autenticación de WordPress. Estas claves nos permiten poner unas claves que se generan de manera aleatoria en WordPress y que nos permiten proteger nuestra sesiones activas en WordPress, nuestras cookies de sesión, por lo que sería prácticamente imposible descifrar esa clave de autenticación.
Ponemos un ejemplo de lo que pone en el fichero de configuración de WordPress:
* Claves únicas de autentificación.
*
* Define cada clave secreta con una frase aleatoria distinta.
* Puedes generarlas usando el {@link https://api.wordpress.org/secret-key/1.1/salt/ servicio de claves secretas de WordPress}
*
* @since 2.6.0
*/
define('AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
/**#@-*/
Aquí tendríamos que cambiar donde pone ‘pon aquí tu frase aleatoria’ por la clave que se genera en la página de WordPress
Generador de claves de autenticación de WordPress
Así que nos quedará de esta manera:
define(‘AUTH_KEY’, ‘rP<;,-=f9cirZ.p<GC{9oj}%RB8NdFmP&a;;uHHa[vs}p`zh+P6PJNB&)w(v$Pq4'); define('SECURE_AUTH_KEY', 'OO#--uRa%?4:0u$T@/[f-VnVhx-m8_j)-vK`tSOHp>@PuT7dU~P-pE`^]_3o/s0D’); define(‘LOGGED_IN_KEY’, ‘v$=kU.<ZW#pOPY>%~-/4JC>$AHM*YZ3jPC!ab6i;/hvc=^pox?3Hm@*jKp2F#4X0′); define(‘NONCE_KEY’, ‘!mI]vCPF}H/nDz>Aaj_vTl[03dyz;6mKbwK*:j{9c@c{nN<M8=f{dnxGE*I0[@/i'); define('AUTH_SALT', 'KvCc+pJ&O{d4#4SCacj>YN2:O+.D}y>X%.l$F.;7cqw-sDfo:^Z4G*S[A2X)&q)Y'); define('SECURE_AUTH_SALT', '1I*6)zLR+)&td&sJ}c]0!R0+YR+q[A/-J{3O%L8fXf5VvXSHR>&mzPXGCoENb;MN'); define('LOGGED_IN_SALT', '>B-:Nn%<nB|L +6PBbg`#C?tX}Yf1eu@yBbc47+3}2A-a=b=U2pMUt??(&Bx@*c%'); define('NONCE_SALT', 'i3COboljZ^x#,fg&L%)%GPrX+Du]Y3YbCE$!1`sD~25;aSdyN?|N,%2uM[:|POD6′);
Ya tenemos las claves de autenticación.
En cuanto a la password de la base de datos y demás, decir que se creen contraseñas difíciles de recordar.
Os aconsejo esta página web.
Seguimos con la configuración. Ahora el prefijo de la tabla.
Es importante cambiar el prefijo de la tabla, ya que si no, los ataques y exploits nuevos que salen, ya vienen por defecto a atacar este tipo de prefijos de tabla: Así que cambiamos el wp_ por, por ejemplo pr3fij0w0rdpr3ss_
Ahora y esta parte es muy importante, sólo para aquellos hostings en el que podáis hacerlo, pondremos los Logins y el panel de administración con SSL.
Añadimos al fichero de wp-config :
define('FORCE_SSL_ADMIN', true);
Ahora ya podemos instalar nuestro WordPress
Seguimos en la siguiente entrega con plugins que podemos utilizar.
Un saludo
