Salve a tutti,
ho trovato in rete questo gustoso tutorial di base su come utilizzare WPScan per scannerizzare eventuali vulnerabilità della vostra installazione WordPress.

WPScan è un web scanner dedicato creato per analizzare e cercare falle di sicurezza all’interno della piattaforma di blogging WordPress. In questo articolo vedremo come usare WPScan, descrivendo i passaggi principali per effettuare una completa analisi di WordPress. Il tool lo troverete pre-installato su le più famose distribuzioni di PenTest esistenti quali: Kali Linux, SamuraiWTF, Pentoo, BlackArch, and BackBox Linux. WPScan comprende anche un DB di plugin e temi (approssimativamente 18000 plugins e 2600 temi) di varie versioni “buggate” per scovare vulnerabilità conosciute.

WPScan permetterà di:

  • Catturare la versione installata di WordPress.
  • Scovare eventuali file rimanenti tipo: readme, robots.txt, file di aggiornamento database, ecc.
  • Individuare eventuali impostazioni abilitate sul’installazione WordPress.
  • Individuare eventuali temi installati e/o attivi.
  • Individuare eventuali plugin attivi ma che non sono stati ancor aaggiornati (quindi con probabili problemi di sicurezza).
  • Estrapolare la lista degli utenti registrati.

Partiamo!

Entriamo nella nostra Kali Linux e apriamo un terminale:

cd /usr/share/wpscan

Questo comando farà in modo di avviare il nostro tool WPScan accedendovi nella directory principale del software.

Wpscan
0

Ci sono molti script in wpscan con la quale siamo in grado di determinare risultati diversi. Cominciamo con una semplice scansione non ricorsiva.

rubywpscan.rb  –url www.example.com

1

2

Ora cercheremo di fare un po ‘ di scansione di base , useremo il parametro –enumerate per trovare informazioni sui temi, plugin, nomi utente , ecc..

ruby ./wpscan.rb –url www.example.com –enumerate p

(Ricordate che al posto di www.example.com inserire il vostro indirizzo da scannerizzare)

4
5

Infine, dopo pochi secondi , si otterrà come risultato i plugin installati . Si può vedere che nel mio risultato della scansione vengono rilevati 4 plugin installati e 3 di loro sono obsoleti , significa può essere è possibile che si può trovare exploit per la versione non aggiornata del plug-in.

Ora per rilevare quale tema installato in WordPress eseguiamo questo comando :

ruby ./wpscan.rb –url www.example.com –enumerate t

(in questo caso il pseudo-parametro ‘t’ significa tema/theme)

6
7

Dopo pochi secondi di attesa si può facilmente scoprire quale tema è installato sul nostro sito web WordPress .

Ora per rilevare gli utenti eseguiamo :

ruby ./wpscan.rb –url www.example.com –enumerate u

(in questo caso il pseudo-parametro ‘u’ significa users)

8
9

THE END ^_^

Fonte



Rapidgator.net

PROCEDURA PER IL DOWNLOAD

1. Clicchiamo su DOWNLOAD e si aprirà una nuova pagina con un contatore di secondi.

2.Attendiamo i 5 secondi e clicchiamo su "AVANTI" come nella foto.

NOTE: non accettare o consentire MAI le notifiche dai siti ads e non installate mai eventuali eseguibili che potrebbero scaricare! Nitente di preoccupante, sono solo delle pubblicità

3.Eventualmente si atterri sul sito keeplinks.co, basta risolvere il captcha e procedere con la copia del link per il download del contenuto.

3.1. Il/I link per il download li troverete all'interno del box LIVE LINKS, chiudete ogni ads che vi si presenterà davanti


VI RICORDO CHE È TUTTO A SCOPO ILLUSTRATIVO.

NON MI ASSUMO NESSUNA RESPONSABILITÀ NELL’ USO CHE NE FARETE.

IO E I MIEI TUTORIAL NON NE SIAMO RESPONSABILI.

UTILIZZARE SOFTWARE CONTRAFFATTO E' UN REATO.

Licenza Creative Commons
Quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 4.0 Internazionale.

Ti è piaciuto il mio articolo? Ti piacerebbe offrirmi un caffè? Con PayPal è facile