13/07/2009

Comment savoir si un site est fait avec Joomla ou comment démasquer les V.IT ?


La première chose a faire, lors d'un audit de sécurité de site web et non de serveur web, est de savoir à qu'elle structure nous allons faire face ?

Donc, savoir de prime abords , si on a affaire à un CMS ou à un site "from scrash", et comme en Algérie, la plupart pour ne pas dire tous, utilisent des CMS et les font payer au prix fort, comme étant des site web "from scrash" qui veut dire, écris ligne par ligne à partir de zéro et qui n'est pas le cas pour un cms "tout est fait à l'avance" on ne parle plus de conception - réalisation , mais d'intégration d'outils open source.

Les techniques d'anonymisation des cms sont tout à fait "normal" en Algérie, et dire que les gars qui ont passés des années à développer un outil open source sont "pillés" parce que la moindre des choses est "rendre à césar ce qui appartient à césar" de mettre sur le site web "propulsé ou made by JOOMLA" et ce n'est pas le cas du tout.

Et que dire des sociétés IT ayant pignon sur rue, qui agissent comme ça en Algérie ? moi je les appele carément "LES VOYOUS DES TIC" les V.IT.....tiens ça sonne bien avec VITE,VITE ou....VATE VATE.

Bon, tous ce charabia, pour vous dire que même, si le V.IT, retire dans le source de joomla, tous ce qui peut le compromettre, il restera une petite combinaison à ajouter sur l'url pour avoir le cœur net.


C'est simple, si vous avez des soupçons sur un site web, vous rajouter dans la barre d'adresse de votre navigateur "/?tp=1" sans les guillemets, et puis "ENTREE".


Si vous retrouvez le site avec des zone grisées et surmontés de nom parfois bizarre "c'est le nom des rubriques que le pseudo-webmaster "taa zoodj dourou" à donné.

C'est que le site web, est une intégration de CMS JOOMLA.

Faites un peu le tour des site web algériens, et je vous laisse vous rendre compte de vous même !

Le prochain billet parlera, de la vulnérabilité de Joomla, qui n'a pas encore eu de patch et ce depuis plus de 3 mois, et qui vous permet de lister toute la base de donnée en claire.
Ici un exemple, avec bac09.dz, malgré déja que le favicone donne déjà le nom du CMS.

9 commentaires:

zendyani a dit…

tres bonne astuce karim, le /?tp=1 est un mouchare mahboul.
vivement le prochain ^^

AmarSoft a dit…

salam alikom salut karim

hadi giba, je te remercie de nous faire ce tres bon article hagda les V.IT sont démasqués, moi je dis souvent sarakin khidma.

a la fin le rizeke 3ala allah

KT a dit…

L'open source à fait des milliardaires en Algérie, le hic, c'est qu'ils sont des voleurs illétrés et ils le savent...

Nassim a dit…

Très intéressant comme billet, vivement le prochain ;-)

Anonyme a dit…

Je pense que notre ami Kt Algérie a besoin de vacance ...

http://www.biologeek.com/web-frameworks/definition-et-avantages-d-un-framework-web/

Bonne lecture a vous :)

KT a dit…

tu te trompe énormement anonyme, je te conseil d'aller faire des études de programmation et de revenir poster ici.
Un framwork n'est pas un CMS.

Red-0ne a dit…

Il n'y a aucun mal a utiliser des CMS pour faire des sites web. C'est rapide, ne demande pas de grosses connaissances en programmation ni en déploiment. Mais ce que ces gens font en cachant celà c'est un manque de respect envers les outils OpenSource qu'ils utilisent d'une part, et que d'autre part ils ne livrent pas les produits qu'ils vendent (Le client n'est jamais informé du fait que plus de 70% du travail est déjà fait par le cms, et que le seul travail fourni se résume a l'assemblage, bidouillage et collemetage de la chose).

Ceci dis je pense que ce milieu n'a que ce qu'il mérite (ou que ce dont il a besoin). Venter votre site "from scratch" en mettant en avant votre XHTML 1.0 valide, vos templates sans tableaux, une décorationn en full CSS, vos bases de données optimales, vos méthodes de mise en cache et la possibilité de supporter une grande charge sur votre serveur... Tout ça ne parle pas au client algérien, il n'y connais rien et n'en a rien a foutre...

N.B: Je trouve que V.IT corresponds bien au profil, je ne les appelerais pas webmasters par respect du metier et parcequ'il y a "master" dans webmaster et ils sont très loin de ça.

Anonyme a dit…

je ne vois pas ou est le mal de faire de joomla un moyen de se faire de l'argent, car si on aborde la question des droits d'auteur, je ne pense pas que tout les développeurs possèdent de licence de Dremwever ou flash ou bien d'autre outils, qui permet de crée leur site "from scrash", ah oui j'oublie bloc note.
il faut juste indiqué qu'il a été fait sous joomla et c'est tout.
je me rappele qu pour les CD interactive fait sous Director l'encetre de flash, cet motion étais obligatoir et des logos etais prévu pour ça "made by Director"

Anonyme a dit…

ton astuce m'aide beaucoup, pour savoir ou sont placé les modules.