donderdag 22 december 2011

Joomla installatie

Bij je volledige loggings kunnen als je een website beheert, is best handig in leerzaam.
Ivm een nieuwe site was ik aan het kijken of er al bezoekers waren en zo ja, wat voor bezoekers.
Uiteraard kwam er een vaste bezoeker langs:


  • Googlebot


Wat mij opviel was dat de googlebot naar de pagina:
index.php/component/users/?view=remind

Hoewel de website maar een paar pagina's groot is, kon ik mij geen pagina herinneren die via deze url beschikbaar moest zijn.

Even testen maar waar we uitkomen:
http://www.gewistesms.nl/index.php/component/users/?view=remind

Inderdaad...een pagina waar je je emailadres kunt opgeven, om je gebruikersnaam toegemaild te krijgen.
Kennelijk een functie die standaard aan staat in Joomla.

Na het invoeren van het juiste emailadres, kregen we een herinneringsmail.
(het emailadres wat gebruikt is om bij de installatie van Joomla)

Hierna zagen we dat we konden inloggen via:
http://www.gewistesms.nl/component/users/?view=login

Ik was me niet bewust dat ik een account had, dus besloot ik er maar 1 te maken.

Ik klikte op link dat ik geen account had en kwam op:
http://gewistesms.nl/component/users/?view=registration

Na het registreren kreeg ik een mail met mijn gebruikersnaam en wachtwoord toegestuurd.
Hiermee kon worden ingelogd op de site en konden de gegevens worden gewijzigd.


Natuurlijk is het voor sommige websiteshandig om je te kunnen registreren.
De default instellingen staan mijns inziens zo ingesteld dat er geen rechten zijn om iets uit te voeren op de website (joomla 1.7)











We kunnen ons voorstellen dat er rechten veranderd zijn en er slechts een aantal geregistreerde gebruikers horen te zijn die iets op een website kunnen doen, dit een veiligheidslek is.

Een veiligheidslek voor overige Joomla gebruikers?
Dat lijkt me niet tot nauwelijks.

Kun je er iets mee?
Je kunt de Joomla gebruikersomgeving vullen met gebruikers. Je moet wel steeds een emailadres opgeven, waarna je op een activatielink moet klikken.
Als je dus de adminnistrator wilt pesten, heb je er zelf wel een hoop werk aan.













Het is vooral leuk om te weten dat een Joomla-installatie standaard wat pagina's heeft waar je je niet bewust van bent.
Google is dit wel en kijkt hier kennelijk vanzelf naar!
Daarnaast is het dus leerzaam om je log-files eens nader te bekijken.

Via de zoekterm: *.nl/component/users/?view=login bleken er 88.500 paginas te zijn (.nl domeinnamen) waar het mogelijk was om in te loggen en waarschijnlijk dus ook te registeren.
Op een aantal pagina's vonden wij geen zichtbare mogelijkheid/link om in te loggen, terwijl de mogelijkheid er kennelijk wel was.
Gepost door op

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)