Open source cms systemen

Mede vanuit mijn vakgebied bekijk ik al jaren cms systemen. Vaak oss aangezien het meestal om aanvullende diensten gaat waarbij je een klant iets extra’s wil leveren maar kosten wel een rol spelen.

Na jaren van het bekijken van PHP systemen waarbij het me opvalt dat ze allemaal hun voor en tegens hebben heb ik ook de moeite genomen om naar systemen te kijken die ik ‘onderweg’ tegenkwam. Daarbij zijn een aantal criteria belangrijk. Het moet ‘user friendly’ zijn maar ook veiligheid speelt een grote rol. Gebruiksvriendelijkheid is wel terug te vinden in bepaalde systemen, de makers van bijvoorbeeld exponent denken daar erg goed over na, Ze blijven echter door het gebrek van kennis in de community altijd door de mand vallen als het op security aankomt.

Aangezien ik geen zin heb om het wiel nog ronder te maken ben ik lang blijven kijken naar dit soort systemen. Heb zelfs tijd en moeite gestoken in het helpen opzetten van regels voor bepaalde systemen. Deze guidelines helpen echter alleen als je een club hebt die inziet waarom men meer kan bieden met een systeem dat voldoet aan veiligheid en stabiliteit.

De afgelopen jaren kom ik redelijk veel mensen tegen die me allerlei andere oplossingen aandragen, zowel commercieel als oss. Daaronder zijn ook mensen die Java aanraden als platform, mede om een veiliger situatie te scheppen. Daarom heb ik de afgelopen weken eens gekeken of er iets bij zit, vooral op het gebied van Oss.

Op het internet zijn er diverse plekken waar je dit soort informatie kunt vinden, ook met online demo’s. Namen ga ik nu even niet noemen maar iedereen uit het wereldje weet wel een site waar je de online demo’s kunt testen. Google er rustig op los.

Mijn keuze viel op twee systemen die beiden tomcat als basis gebruikten en MySql als opslag gebruikten. Handig, ik ben redelijk goed bekend met die dbms’n dus dat scheelt weer. Met een setje tests die ik standaard doe ben ik gaan rondneuzen. Kijken naar de mogelijkheden en ook naar zaken waar je niets aan hebt. Mijn oog viel daarbij o.a. op een cms dat met rollen werkt, iets dat zelden goed in elkaar steekt. Er is een demo online die je in staat stelt om in te loggen op diverse manieren, editor, admin en publisher. Het eind resultaat staat min of meer gelijk online als men de juiste rol heeft.

Bij dit soort testen kijk ik meestal gelijk naar XSS injecties. Op zichzelf kunnen ze weinig kwaad maar het is wel vaak een voorbode van wat er mogenlijk zou mogen zijn. Daarmee bedoel ik vooral het slecht afhandelen van input in het algemeen. Het stelt crackertjes in staat om ook te zoeken naar sql injecties als de meest simpele checks al niet aanwezig zijn.

In het systeem dat mij het meeste kans leek te hebben om eindelijk iets te vinden waar ik mee verder kon was het jammer genoeg bij de eerste test al raak. Een zoekactie in hun ‘searchbox’ leverde gelijk al informatie over hoe hun cookie’s in elkaar zitten door een popup te genereren met de relevante gegevens. Aangezien dit al achter een login zit besloot ik dit vandaag ook eens te testen op het gedeelte waar de bezoekers komen. Helaas pindakaas, net zo lek als een mandje of vergiet (kies iets dat van toepassing is).

Het andere systeem was nog erger. Men kon zich aanmelden en met een xss injectie er voor zorgen dat de admin niet ziet dat men een account heeft. De xss zorgt er voor dat dit in de admin interface niet duidelijk wordt tenzij men de html source bekijkt.

Blijkbaar is al die fuzz die men al jaren lang heeft over PHP cms systemen dus gewoon wel waar. Alleen met dat verschil dat systemen geschreven in andere talen[1] er net zo hard last van hebben. Ik hoop echt dat ontwikkelaars zich eens bezig gaan houden met dit soort zaken. Owasp[2] is een mooi begin.

1. http://webwereld.nl/articles/49196/mobiele-site-ns-maand-lang-kwetsbaar-voor-xss-aanval.html
2. http://www.owasp.org/index.php/Main_Page

Tagged:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: