Wie der Name Typo3Scan bereits vermuten lässt, geht es um das Scannen von Typo3-Anwendungen. Wie dieses Tool installiert werden kann und wofür es im Rahmen eines Penetrationstest verwendet wird erklärt dieser Blogbeitrag.
Installation von Typo3Scan
Typo3Scan, unser Pentest-Tool #8, kann wie viele andere Programme über GitHub heruntergeladen werden. In der letzten Woche haben wir uns bspw. mit der SecList beschäftigt, die ebenfalls kostenlos über GitHub heruntergeladen werden kann. Das Repository zu dem Typo3Scan wurden von dem Benutzer mit dem Namen whoot bereits im Juli 2014 erstellt.
Da es sich um ein öffentliches Projekt handelt können alle Entwickler weltweit daran weiterarbeiten. Die letzte Veränderung bzw. Erweiterung wurde vor rund 2 Wochen veröffentlicht.
Um das Tool verwenden zu können, muss zunächst das gesamte Repository geklont werden, dies kann durch den folgenden Befehl erreicht werden:
- git clone https://github.com/whoot/Typo3Scan.git
Nachdem das Klonen erfolgreich durchgeführt wurde, können wir mit dem Befehl: cd Typo3Scan in den richtigen Ordner wechseln. Das Tool Typo3Scan ist in Python programmiert, da jedoch einige Bibliotheken verwendet werden, die in der klassischen Python Installation nicht enthalten sind, müssen wir diese durch folgenden Befehl nach installieren:
- pip install -r requirements.txt
Bei der Installation sollte darauf geachtet werden, dass die aktuelle Python-Version 3.7 verwendet wird. Dies kann durch den Befehl: python –version festgestellt werden.
Pentest-Tool #8 – Typo3Scan
Typo3 ist ein Open-Source Content-Managment-System. Es ist eine kostenlose Software, welches direkt auf der Webseite dieses Projekts heruntergeladen werden kann. Ein Content-Managment-System wird beispielsweise verwendet, um Darstellung, Organisation und die Verwaltung digitaler Medien an einem Ort zu bündeln. Es dient also kurz gesagt zur Verwaltung und Erstellung einer Webseite.
Typo3 ist ein sehr häufig verwendetes CMS, welches definitiv die Aufmerksamkeit eines Penetrationstesters erhalten sollte. Da das CMS häufig direkt mit einer Datenbank verbunden ist, ist es für die IT-Sicherheit wichtig, ein CMS richtig zu konfigurieren.
Bei solchen Konfigurationen können verschiedene Fehler gemacht werden. Damit im Rahmen eines Pentests diese Konfiguration möglichst schnell überprüft werden kann hat der Entwickler whoot den Typo3Scan entworfen. Dieser erkennt durch verschiedene Anfragen, wie Typo3 auf dem Webserver konfiguriert ist.
Anhand einer Liste mit bekannten Schwachstellen kann der Scanner somit feststellen, ob Fehlkonfigurationen auf dem Webserver zu finden sind.
Pentest-Tool #8 in der Praxis
Wie viele andere Kommandozeilen-Tools gibt es auch bei Typo3Scan die Möglichkeit eine Übersicht über alle Funktionen zu erhalten. Um diese Übersicht zu erhalten muss folgender Befehl eingegeben werden:
- python3 typo3scan.py -h
In unserem Beispiel testen wir die Webseite internet-sicherheit.de, ob dort Fehlkonfigurationen vorhanden sind. Um eine Webseite nach Schwachstellen zu untersuchen muss folgender Befehl verwendet werden:
- python3 typo3scan -d internet-sicherheit.de –vuln
Der Scan kann je nach Webseite unterschiedliche lange dauern. In unserem Beispiel zeigen wir nicht den kompletten Scan in dem oben abgebildeten GIF, da dieser sehr lange dauert.
Wie ein mögliches Ergebnis solch eines Scans aussieht können Sie entweder selber einmal durchführen, oder Sie schauen in der README.md Datei in dem oben verlinkten Repository nach.