WPScan - Gara guty WordPress gowşaklyk skaneri

WordPress bütin webde; ol ýerdäki iň meşhur we iň köp ulanylýan mazmun dolandyryş ulgamy (CMS). Web sahypaňyz ýa-da blogyňyz WordPress bilen işleýärmi? Zyýanly hakerleriň her minutda WordPress saýtlaryna hüjüm edýändigini bilýärdiňizmi? Etmedik bolsaňyz, indi bilýärsiňiz.

Web sahypaňyzy ýa-da blogyňyzy goramak üçin ilkinji ädim gowşak goralanlygy bahalandyrmakdyr. Bu, sahypaňyzyň içinde ýa-da onuň binagärliginde umumy howpsuzlyk boşluklaryny (köpçülige mälim) kesgitlemek üçin edilýän amal.

Bu makalada, howpsuzlyk hünärmenleri we web sahypalaryny goraýjylar üçin web sahypalarynyň howpsuzlygyny barlamak üçin döredilen mugt skaner bolan WPScan-y nädip gurmalydygyny we ulanmalydygyny görkezeris.

Linux ulgamlarynda WPScan-y nädip gurmaly

WPScan gurnamagyň we işlemegiň maslahat berilýän usuly, resmi Docker şekilini ulanmakdyr, bu gurnama meselelerini (adatça garaşlylyk meselesi) aradan aýyrmaga kömek eder.

Docker ammaryny ulgamyňyza goşjak we zerur paketleri gurjak gabyk skriptini göçürip almak we işletmek üçin CURL programmaňyz bolmaly.

$ sudo curl -fsSL https://get.docker.com | sh

Docker üstünlikli gurlansoň, hyzmaty başlaň, ulgamyň açylýan wagty awtomatiki başlamaga mümkinçilik beriň we aşakdaky ýaly işleýändigini ýa-da işlemeýändigini barlaň.

# sudo systemctl start docker
# sudo systemctl enable docker
# sudo systemctl status docker

Ondan soň, aşakdaky buýrugy ulanyp, WPScan Docker şekilini çekiň.

$ docker pull wpscanteam/wpscan

WPScan Docker şekili göçürilenden soň, aşakdaky buýrugy ulanyp ulgamyňyzdaky Docker şekillerini sanap bilersiňiz.

$ docker images

Aşakdaky screesnhot-dan çykýan zatlara seretseň, WPScan ammar şekili wpscanteam/wpscan, indiki bölümde ulanarsyňyz.

WPScan ulanyp, WordPress gowşaklygy skanerini nädip ýerine ýetirmeli

WPScan ulanyp, gowşak goralanlygy skanirlemegiň iň ýönekeý usuly, görkezilişi ýaly WordPress web sahypaňyzyň URL-sini üpjün etmekdir (www.example.com-ny sahypaňyzyň URL-si bilen çalşyň).

$ docker run wpscanteam/wpscan --url www.example.com

WPScan SERVER (web serweriniň görnüşi we wersiýasy) we X-POWERED-BY (PHP wersiýasy) ýaly gyzykly HTTP sözbaşylaryny tapmaga synanyşar; şeýle hem, açyk API-leri, RSS iýmit baglanyşygyny we ulanyjylary gözlär.

Soňra bolsa, WordPress wersiýasyny sanamaga dowam eder we döwrebapdygyny ýa-da ýüze çykarylan wersiýa belgisi bilen baglanyşykly haýsydyr bir gowşaklygyň bardygyny ýa-da ýokdugyny barlar. Mundan başga-da, mowzugy we döwrebapdygyny tapmak üçin oturdylan pluginleri tapmaga synanyşar.

Aşakdaky buýrugy ulanyp, 30 sapak ulanyp, sanalan ulanyjylara söz sanawynyň parol zalym güýjüni ýerine ýetirip bilersiňiz. Söz sanawyny kesgitlemek we sapaklaryň sanyny kabul etmek üçin --wordlist we --threads baýdaklary.

$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --threads 30

Diňe administrator ulanyjy adynda söz sanawynyň paroly zalym güýji ýerine ýetirmek üçin aşakdaky buýrugy işlediň.

$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --username admin

Ativea-da bolmasa, ulgamyňyzdaky ýerli söz sanawyny doker konteýnerine gurnap, ulanyjy administratory üçin zalym hüjüme başlap bilersiňiz.

$ docker run -it --rm -v ~/wordlists:/wordlists wpscanteam/wpscan --url www.example.com --wordlist /wordlists/wordlist_file.txt --username admin

Gurlan plaginleri sanamak üçin aşakdaky buýrugy işlediň.

$ docker run wpscanteam/wpscan --url www.example.com --enumerate p

Gurlan plaginleri sanamak ýeterlik bolmasa, sanamak gurallarynyň hemmesini görkezilişi ýaly işledip bilersiňiz.

$ docker run wpscanteam/wpscan --url www.example.com --enumerate

Çykyş düzedişini açmak üçin --debug-ouput baýdagyny ulanyň we çykyşy soňraky derňew üçin faýla gönükdiriň.

$ docker run wpscanteam/wpscan --url www.example.com --debug-output 2>debug.log

Iň soňkusy, aşakdaky buýrugy ýerine ýetirip, WPScan maglumatlar bazasyny iň soňky wersiýa täzeläp bilersiňiz.

$ docker run wpscanteam/wpscan --update

Bu buýruklar bilen Docker we WPScan kömek habarlaryny görüp bilersiňiz.

$ docker -h  
$ docker run wpscanteam/wpscan -h

WPScan Github ammary: https://github.com/wpscanteam/wpscan

Bularyň hemmesi häzirlikçe! WPScan, web howpsuzlyk gurallary arsenalynda bolmaly güýçli gara guty WordPress gowşaklygy skaneridir. Bu gollanmada käbir esasy mysallar bilen WPScan-y nädip gurmalydygyny we ulanmalydygyny görkezdik. Islendik sorag beriň ýa-da teswirlerde pikirleriňizi biziň bilen paýlaşyň.