Esta entrada será algo muy sencillo, quizás lo tomen como algo de newbie, pero si lo vemos desde el punto de vista pentester, cualquier vulnerabilidad de un sitio ya sea que la vulnerabilidad ya se haya hecha pública , sigue siendo vulnerabilidad, de hecho es peor, estás más expuesto que cualquier persona pueda acceder a la administración como si nada.
Los CMS , son sistema de administración de sitios el cual son programados por empresas que buscan facilitar el trabajo de las personas inexpertas y ahorrar el trabajo de un programador personalizado(por eso los hackean) se trata de un sistema que un niño de 10 podría usar, solo se sube al servidor , sigues instrucciones, pones contraseñas y creas perfiles, y entonces te dedicas a publicar , ya tienes creado tu sitio web sin gastar dinero, ya sea para tu empresa, personal , o negocio.
¿Entonces de que se trata esto? Simple y sencillamente de las versiones de cada CMS, cada cierto tiempo se crean versiones, aunque a veces estas deberían de ser para mejorar la seguridad, se dedican a mejorar el entorno gráfico y hacer que el usuario tenga una mejor experiencia y pueda manipular su sitio con pocos conocimientos, esto puede comprometer un poco la seguridad.
La mayoría de los usuarios que instalan joomla u otros CMS son personas inexpertas, la cuales reciben notificaciones de que existe una nueva versión para actualizar y lo toman como innecesarios, esto es un error, siempre hay que tener actualizado las versiones de todo software y aplicaciónes y más cuando son aplicaciones webs. Estas personas no saben que al no actualizar están desprotegidos ya que en las versiones anteriores y a veces en la actuales ( 0day).Los hackers sacan a la luz las vulnerabilidades y las publican , estas son llamados exploits o 0day. Siguen existiendo versiones de joomla , wordpress viejas en la internet , están expuestas a cualquier ataque hacker.
Bancos de exploit, aca encontraras las vulnerarbilidades de cada CMS con respecto a su versión , la aplicación que requiere para ser explotado y su breve manual de como emplearlo.
https://www.exploit-db.com/
http://es.0day.today/
No hay comentarios:
Publicar un comentario