WPSCAN - Pengimbas Kerentanan Kotak Kotak Hitam

WordPress adalah di seluruh web; Ini sistem pengurusan kandungan yang paling popular dan paling banyak digunakan (CMS) di luar sana. Adakah laman web atau blog anda dikuasakan oleh WordPress? Adakah anda tahu bahawa penggodam jahat selalu menyerang laman web WordPress setiap minit? Sekiranya anda tidak, sekarang anda tahu.

Langkah pertama ke arah mendapatkan laman web atau blog anda adalah dengan melakukan penilaian kelemahan. Ini hanyalah operasi untuk mengenal pasti kelemahan keselamatan biasa (diketahui oleh orang ramai), di dalam laman web anda atau seni bina yang mendasari.

Baca juga: Wpseku - pengimbas kelemahan untuk mencari masalah keselamatan di WordPress

Dalam artikel ini, kami akan menunjukkan kepada anda cara memasang dan menggunakan WPSCAN, Pengimbas percuma yang dibuat untuk profesional keselamatan dan penyelenggara laman web untuk menguji keselamatan laman web mereka.

Cara Memasang WPSCAN dalam Sistem Linux

Cara yang disyorkan untuk memasang dan berjalan WPSCAN adalah menggunakan imej Docker rasmi, ini akan membantu anda menghapuskan masalah pemasangan (biasanya masalah ketergantungan).

Anda harus memasang Docker dan berjalan pada sistem anda, jika tidak, mulakan dengan memasangnya menggunakan yang berikut, yang akan menggunakan program Curl untuk memuat turun dan menjalankan skrip shell yang akan menambah repositori Docker ke sistem anda dan memasang pakej yang diperlukan.

$ sudo curl -fssl https: // get.Docker.com | sh 

Sekali Docker berjaya dipasang, mulakan perkhidmatan, membolehkannya untuk memulakan auto pada masa boot sistem dan periksa sama ada ia berjalan dan berjalan seperti berikut.

# sudo Systemctl Mula Docker # Sudo Systemctl Dayakan Docker # Sudo Systemctl Status Docker 

Seterusnya, tarik WPSCAN Docker gambar menggunakan arahan berikut.

$ docker tarik wpscanteam/wpscan 

Sekali WPSCAN Docker Imej yang dimuat turun, anda boleh menyenaraikan imej Docker pada sistem anda menggunakan arahan berikut.

$ Docker Images 

Melihat output dari screesnhot berikut, imej repositori WPScan adalah wpscanteam/wpscan yang akan anda gunakan di bahagian seterusnya.

Cara melakukan imbasan kelemahan wordpress menggunakan wpscan

Cara paling mudah untuk melakukan imbasan kelemahan menggunakan WPSCAN adalah untuk menyediakan URL laman web WordPress anda seperti yang ditunjukkan (ganti www.Contoh.com dengan url laman web anda).

$ docker run wpscanteam/wpscan --url www.Contoh.com 

WPSCAN akan cuba mencari tajuk HTTP yang menarik seperti Pelayan (Jenis dan versi pelayan web) dan X-berkuasa-oleh (Versi PHP); Ia juga akan mencari API yang terdedah, pautan suapan RSS dan pengguna.

Maka ia akan terus menghitung versi WordPress dan memeriksa jika terkini atau jika terdapat kelemahan yang berkaitan dengan nombor versi yang dikesan. Di samping itu, ia akan cuba mengesan tema serta plugin yang dipasang untuk mendapati bahawa.

Anda boleh melakukan kata laluan kata laluan kata laluan pada pengguna yang disenaraikan menggunakan 30 Threads menggunakan perintah ikut. The --senarai perkataan dan --benang bendera untuk menentukan senarai perkataan dan tetapkan bilangan benang secara penerimaan.

$ docker run wpscanteam/wpscan --url www.Contoh.com -wordlist wordlist_file.txt --threads 30 

Untuk melaksanakan kata laluan kata laluan kata laluan pada kata laluan di "Pentadbir" Nama pengguna sahaja, jalankan arahan berikut.

$ docker run wpscanteam/wpscan --url www.Contoh.com -wordlist wordlist_file.TXT --UserName Admin 

Sebagai alternatif, anda boleh memasang senarai kata tempatan pada sistem anda ke bekas Docker dan memulakan serangan bruteforce untuk pentadbir pengguna.

$ docker run -it - -rm -v ~/wordlists:/wordlists wpscanteam/wpscan --url www.Contoh.com -Wordlist /WordLists /WordList_File.TXT --UserName Admin 

Untuk menghitung plugin yang dipasang, jalankan arahan berikut.

$ docker run wpscanteam/wpscan --url www.Contoh.com --enumerate p 

Sekiranya menghitung plugin yang dipasang tidak mencukupi, anda boleh menjalankan semua alat penghitungan seperti yang ditunjukkan.

$ docker run wpscanteam/wpscan --url www.Contoh.com --enumerate 

Untuk membolehkan debugging output, gunakan --Debug-suput bendera, dan mengalihkan output ke dalam fail untuk analisis kemudian.

$ docker run wpscanteam/wpscan --url www.Contoh.com --debug-output 2> debug.log 

Akhir sekali, anda boleh mengemas kini pangkalan data WPSCan ke versi terkini dengan melaksanakan arahan berikut.

$ docker run wpscanteam/wpscan --update 

Anda boleh melihat Docker dan WPSCAN Bantu mesej dengan arahan ini.

$ docker -h $ docker run wpscanteam/wpscan -h 

WPSCAN GitHub Repository: https: // github.com/wpscanteam/wpscan

Itu sahaja buat masa ini! WPSCAN adalah pengimbas kelemahan WordPress Black Box WordPress yang harus anda miliki di senjata anda alat keselamatan web. Dalam panduan ini, kami menunjukkan cara memasang dan menggunakan WPSCAN dengan beberapa contoh asas. Tanya sebarang pertanyaan atau kongsi pendapat anda dengan kami dalam komen.