| Joomla内容管理系统漏洞利用技术 |
| |
| 作者姓名: | 董颖 张玉清 乐洪舟 |
| |
| 作者单位: | 中国科学院大学 国家计算机网络入侵防范中心, 北京 101408 |
| |
| 基金项目: | 国家自然科学基金(61272481)、360项目和国家发改委信息安全专项(发改办高技[2012]1424)资助 |
| |
| 摘 要: | 设计并实现Joomla的漏洞利用工具Joom Hack,使用针对Joomla CMS的特点精心构造成的攻击向量组建在线共享更新的漏洞检测库,遍历攻击向量来进行漏洞测试利用,以漏洞库中的攻击向量作为种子,扩展成新的攻击向量,大大提高了漏洞利用成功率.使用该工具和Joomscan以及其他通用渗透测试工具对不同版本的Joomla CMS进行漏洞扫描,结果证明该工具对于Joomla CMS的漏洞利用具有更高的优越性.Joom Hack可以有效地对Joomla站点进行漏洞扫描利用以及风险评估,为漏洞修复等安全工作打下基础,是一种效果好成本低的Web应用安全防护方案.
|
| 关 键 词: | Joomla 共享漏洞库 风险评估 漏洞利用 Web安全 |
| 收稿时间: | 2014-08-01 |
| 修稿时间: | 2015-05-18 |
Vulnerability exploitation for Joomla content management system |
| |
| Authors: | DONG Ying ZHANG Yuqing YUE Hongzhou |
| |
| Institution: | National Computer Network Intrusion Protection Center, University of Chinese Academy of Sciences, Beijing 101408, China |
| |
| Abstract: | We propose and develop a vulnerability exploitation scheme, called JoomHack. We use online shared and updatable vulnerability detection library of attack patterns, traverse them to exploit vulnerabilities, use attack patterns in database as seeds to generate new ones, and bring higher success rates. Experiments show that JoomHack takes advantage over Joomscan and other penetration tools of superiority when exploiting Joomla-based web system. JoomHack exploits vulnerabilities, assess risk for Joomla site effectively, and lay the foundation for web security work such as bug fixes. It is effective and has low cost for the improvement of web security. |
| |
| Keywords: | Joomla shared vulnerability library risk assessment vulnerability exploit web security |
| 本文献已被 CNKI 等数据库收录! |
| 点击此处可从《》浏览原始摘要信息 |
| 点击此处可从《》下载免费的PDF全文 |
|
