Leggo sempre con piacere i post di Inside the world, sito di divulgazione informatica dedicato a Linux, alla sicurezza e all'hacking; gli articoli sono sempre molto interessanti, coincisi ma esaurienti e soprattutto scritti in un linguaggio semplice e alla portata di tutti.
Recentemente Dario Vignali, giovanissimo autore del blog, ha pubblicato un articolo intitolato "Scoprire la versione del cms: step one del defacing" in cui vengono descritte quelle che sono le tecniche basilari più utilizzate per attaccare alcuni CMS.
In particolare l'articolo si occupa delle procedure per rintracciare il numero di versione di due dei più utilizzati Content Managers per la creazione di forum di discussione: Phpbb e Invision Power Board (IPB); naturalmente molto spesso il numero di versione è riportato senza particolari preoccupazioni nel footer delle pagine, in quei casi non c'è alcun bisogno di ricorrere a sofisticate tecniche di hacking per recuperare quest'informazione.
Per quei siti che sono stati creati utilizzando un CMS e che non riportano nel front end il numero di versione, è invece possibile ricorrere ad una tecnica molto semplice: richiamare tramite browser il file CHANGELOG. Una volta visualizzato è bene tenere presente che:
spesso il changlog si riferisce quasi esclusivamente alla versione precedente di quella ospitata... Quindi per scoprire quella reale bisogna controllare qual'è quella successiva a quella presa in considerazione nel changelog.
Sembra una sciocchezza, ma anche solo cancellare il CHANGELOG di un CMS, o non uploadarlo nel server, può essere un piccolo accorgimento per evitare problemi. Vi sono siti Internet basati su vecchie versioni di Content Manager che non essendo state aggiornate risentono di problemi che magari non riguardano più le nuove distribuzioni.
Quindi se avete un portale o un forum basato su un CMS e avete perso i contatti con il vostro sviluppatore, è buona norma fare almeno una visita alla root del Web server per verificare che il vostro CHANGELOG non sia per caso raggiungibile tramite la semplice digitazione di una URL; se le cose stanno così cancellatelo pure, non è un file vitale per il vostro sito Web.