Παρασκευή 6 Δεκεμβρίου 2013

Joomla

Το Joomla! είναι ένα ελεύθερο και ανοικτού κώδικα σύστημα διαχείρισης περιεχομένου. Χρησιμοποιείται για τη δημοσίευση περιεχομένου στον παγκόσμιο ιστό (World Wide Web) και σε τοπικά δίκτυα - intranets. Είναι γραμμένο σε PHP και αποθηκεύει τα δεδομένα του στη βάση MySQL. Το βασικό χαρακτηριστικό του είναι ότι οι σελίδες που εμφανίζει είναι δυναμικές, δηλαδή δημιουργούνται την στιγμή που ζητούνται. Ενα σύστημα διακομιστή(server) όπως είναι ο Apache λαμβάνει τις αιτήσεις των χρηστών και τις εξυπηρετεί.
Με ερωτήματα προς τη βάση λαμβάνει δεδομένα τα οποία μορφοποιεί και αποστέλλει στον εκάστοτε φυλλομετρητή (web browser) του χρήστη. Το Joomla! έχει και άλλες δυνατότητες εμφάνισης όπως η προσωρινή αποθήκευση σελίδας, RSS feeds, εκτυπώσιμες εκδόσεις των σελίδων, ειδήσεις, blogs,
 δημοσκοπήσεις, έρευνες, καθώς και πολύγλωσση υποστήριξη των εκδόσεών του.

Ευπάθειες (vulnerabilities)

 Όπως πολλά παρόμοια λογισμικά, έτσι και το Joomla συχνά υποφέρει από προβλήματα ασφάλειας τα οποία τις περισσότερες φορές δεν είναι τόσο σοβαρά. Ένα παράδειγμα: Το Jsupport είναι ένα extension που μπορεί να χρησιμοποιηθεί στο Joomla. Βοηθάει τον δημιουργό του Joomla site να χειρίζεται FAQs και comments. Μία ευπάθεια του Jsupport αφορούσε την απουσία ελέγχου της τιμής της μεταβλητής “alpha”. Κάποιος κακόβουλος χρήστης θα μπορούσε να δώσει ως τιμή της “alpha” ένα SQL query και έτσι να επέμβει στη ΒΔ της εφαρμογής (SQL injection). Αυτό ήταν δυνατό, καθώς η μεταβλητή “alpha” ήταν η σύνδεση του κώδικα του Jsupport με τη ΒΔ. 

 Παράδειγμα του κώδικα τηε συγκεκριμένης ευπάθειας είναι:

 administrator/index.php?option=com_jsupport&task=listFaqs&alpha=[SQL Injection].



Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου