WPScan - ເຄື່ອງສະແກນລະບົບ WordPress ກ່ອງສີ ດຳ


WordPress ແມ່ນທົ່ວເວັບ; ມັນແມ່ນລະບົບການຄຸ້ມຄອງເນື້ອຫາທີ່ມີຄົນນິຍົມແລະໃຊ້ກັນຫຼາຍທີ່ສຸດ (CMS) ຢູ່ທີ່ນັ້ນ. ເວບໄຊທ໌ຫລືບລັອກຂອງທ່ານແມ່ນຂັບເຄື່ອນໂດຍ WordPress ບໍ? ທ່ານຮູ້ບໍ່ວ່າແຮກເກີທີ່ເປັນອັນຕະລາຍ ກຳ ລັງໂຈມຕີເວບໄຊທ໌ WordPress ທຸກໆນາທີ? ຖ້າທ່ານບໍ່ເຮັດ, ທ່ານກໍ່ຮູ້ແລ້ວ.

ຂັ້ນຕອນ ທຳ ອິດເພື່ອຮັບປະກັນເວັບໄຊທ໌ຫລືບລັອກຂອງທ່ານແມ່ນການປະຕິບັດການປະເມີນຄວາມສ່ຽງ. ນີ້ແມ່ນພຽງແຕ່ການ ດຳ ເນີນງານເພື່ອ ກຳ ນົດຊ່ອງຫວ່າງດ້ານຄວາມປອດໄພທົ່ວໄປ (ທີ່ສາທາລະນະຮູ້ຈັກ), ພາຍໃນເວັບໄຊທ໌້ຫຼືສະຖາປັດຕະຍະ ກຳ ທີ່ຕິດພັນຂອງມັນ.

ໃນບົດຂຽນນີ້, ພວກເຮົາຈະສະແດງວິທີການຕິດຕັ້ງແລະໃຊ້ WPScan, ເຄື່ອງສະແກນຟຣີທີ່ສ້າງຂື້ນ ສຳ ລັບຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພແລະຜູ້ຮັກສາເວບໄຊທ໌ເພື່ອທົດສອບຄວາມປອດໄພຂອງເວັບໄຊທ໌ຂອງພວກເຂົາ.

ວິທີການຕິດຕັ້ງ WPScan ໃນ Linux Systems

ວິທີການທີ່ແນະ ນຳ ໃນການຕິດຕັ້ງແລະແລ່ນ WPScan ແມ່ນການໃຊ້ຮູບ Docker ຢ່າງເປັນທາງການ, ນີ້ຈະຊ່ວຍທ່ານໃນການແກ້ໄຂບັນຫາການຕິດຕັ້ງ (ບັນຫາການເພິ່ງພາອາໄສໂດຍປົກກະຕິ).

ທ່ານຄວນຈະມີໂປແກຼມ cURL ເພື່ອດາວໂຫລດແລະແລ່ນ script shell ເຊິ່ງຈະເພີ່ມບ່ອນເກັບຂໍ້ມູນ Docker ເຂົ້າໃນລະບົບຂອງທ່ານແລະຕິດຕັ້ງແພັກເກດທີ່ ຈຳ ເປັນ.

$ sudo curl -fsSL https://get.docker.com | sh

ເມື່ອ Docker ຖືກຕິດຕັ້ງ ສຳ ເລັດແລ້ວ, ເລີ່ມຕົ້ນການບໍລິການ, ໃຫ້ມັນສາມາດເລີ່ມຕົ້ນໂດຍອັດຕະໂນມັດໃນເວລາບູດລະບົບແລະກວດເບິ່ງວ່າມັນ ກຳ ລັງແລ່ນແລະເຮັດວຽກຕໍ່ໄປນີ້.

# sudo systemctl start docker
# sudo systemctl enable docker
# sudo systemctl status docker

ຕໍ່ໄປ, ດຶງຮູບ WPScan Docker ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ docker pull wpscanteam/wpscan

ເມື່ອດາວໂຫລດຮູບ WPScan Docker ແລ້ວ, ທ່ານສາມາດລາຍຊື່ຮູບ Docker ໃນລະບົບຂອງທ່ານໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ docker images

ເບິ່ງຜົນໄດ້ຮັບຈາກ screesnhot ຕໍ່ໄປນີ້, ຮູບພາບຂອງຫໍໄຕ WPScan ແມ່ນ wpscanteam/wpscan ເຊິ່ງທ່ານຈະ ນຳ ໃຊ້ໃນພາກຕໍ່ໄປ.

ວິທີການປະຕິບັດການສະແກນ WordPress ໂດຍໃຊ້ WPScan

ວິທີທີ່ງ່າຍທີ່ສຸດຂອງການປະຕິບັດການສະແກນຈຸດອ່ອນໂດຍໃຊ້ WPScan ແມ່ນການໃຫ້ URL ຂອງເວບໄຊທ໌ WordPress ຂອງທ່ານດັ່ງທີ່ສະແດງ (ທົດແທນ www.example.com ກັບ URL ຂອງເວັບໄຊທ໌ຂອງທ່ານ).

$ docker run wpscanteam/wpscan --url www.example.com

WPScan ຈະພະຍາຍາມຊອກຫາຫົວຂໍ້ HTTP ທີ່ ໜ້າ ສົນໃຈເຊັ່ນ: SERVER (ປະເພດເຊີຟເວີແລະລຸ້ນ) ແລະ X-POWERED-BY (ລຸ້ນ PHP); ມັນຍັງຈະຊອກຫາ API ທີ່ຖືກເປີດເຜີຍ, ການເຊື່ອມຕໍ່ອາຫານ RSS ແລະຜູ້ໃຊ້.

ຫຼັງຈາກນັ້ນ, ມັນຈະສືບຕໍ່ຂື້ນທະບຽນເວີຊັນ WordPress ແລະກວດເບິ່ງວ່າມັນມີວັນເວລາຫລືຖ້າມີຂໍ້ບົກພ່ອງໃດໆທີ່ກ່ຽວຂ້ອງກັບຕົວເລກເວີຊັນທີ່ກວດພົບ. ນອກຈາກນັ້ນ, ມັນຈະພະຍາຍາມຄົ້ນຫາຫົວຂໍ້ພ້ອມທັງປັinsກອິນທີ່ຕິດຕັ້ງໄວ້ເພື່ອໃຫ້ຮູ້ວ່າມັນມີຄວາມທັນສະ ໄໝ.

ທ່ານສາມາດປະຕິບັດການໃຊ້ ຄຳ ສັບທີ່ມີຄວາມເຂັ້ມແຂງ ສຳ ລັບຜູ້ໃຊ້ ສຳ ຫຼວດໂດຍໃຊ້ 30 ກະທູ້ໂດຍໃຊ້ ຄຳ ສັ່ງ followin. ທຸງ --wordlist ແລະ - ການອ່ານ ລະຫັດລັບເພື່ອລະບຸລາຍຊື່ ຄຳ ສັບແລະ ກຳ ນົດ ຈຳ ນວນກະທູ້ທີ່ຍອມຮັບ.

$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --threads 30

ເພື່ອປະຕິບັດລະຫັດລັບຂອງລະຫັດ ຄຳ ທີ່ໃຊ້ໃນຊື່“ admin” ເທົ່ານັ້ນ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --username admin

ອີກທາງເລືອກ, ທ່ານສາມາດຕິດຕັ້ງລາຍຊື່ ຄຳ ສັບທ້ອງຖິ່ນໃນລະບົບຂອງທ່ານໃສ່ຕູ້ຄອນເທນເນີແລະເລີ່ມການໂຈມຕີທີ່ໃຊ້ ສຳ ລັບຜູ້ບໍລິຫານຜູ້ໃຊ້.

$ docker run -it --rm -v ~/wordlists:/wordlists wpscanteam/wpscan --url www.example.com --wordlist /wordlists/wordlist_file.txt --username admin

ເພື່ອຄິດໄລ່ປັinsກອິນທີ່ຕິດຕັ້ງ, ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ docker run wpscanteam/wpscan --url www.example.com --enumerate p

ຖ້າການຕິດຕັ້ງປັinsກອິນທີ່ມີການຕິດຕັ້ງບໍ່ພຽງພໍ, ທ່ານສາມາດໃຊ້ເຄື່ອງມື ສຳ ຫຼວດທັງ ໝົດ ຕາມທີ່ສະແດງ.

$ docker run wpscanteam/wpscan --url www.example.com --enumerate

ເພື່ອໃຫ້ສາມາດແກ້ໄຂຜົນໄດ້ຮັບ, ໃຫ້ໃຊ້ --debug-ouput ທຸງ, ແລະປ່ຽນເສັ້ນທາງເຂົ້າໄປໃນເອກະສານ ສຳ ລັບການວິເຄາະຕໍ່ມາ.

$ docker run wpscanteam/wpscan --url www.example.com --debug-output 2>debug.log

ສຸດທ້າຍ, ທ່ານສາມາດປັບປຸງຖານຂໍ້ມູນຂອງ WPScan ໃຫ້ເປັນເວີຊັນລ້າສຸດໂດຍປະຕິບັດ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ docker run wpscanteam/wpscan --update

ທ່ານສາມາດເບິ່ງຂໍ້ຄວາມຊ່ວຍເຫຼືອຂອງ Docker ແລະ WPScan ດ້ວຍ ຄຳ ສັ່ງເຫຼົ່ານີ້.

$ docker -h  
$ docker run wpscanteam/wpscan -h

WPScan Github repository: https://github.com/wpscanteam/wpscan

ດຽວນີ້ ໝົດ ແລ້ວ! WPScan ແມ່ນກ່ອງ ດຳ ທີ່ມີປະສິດທິພາບສູງທີ່ທ່ານຄວນມີໃນເຄື່ອງມືຮັກສາຄວາມປອດໄພຂອງເວັບ. ໃນຄູ່ມືນີ້, ພວກເຮົາໄດ້ສະແດງວິທີການຕິດຕັ້ງແລະ ນຳ ໃຊ້ WPScan ດ້ວຍຕົວຢ່າງພື້ນຖານບາງຢ່າງ. ຖາມ ຄຳ ຖາມຫຼືແລກປ່ຽນຄວາມຄິດເຫັນກັບພວກເຮົາໃນ ຄຳ ເຫັນ.


ທິການ. © Linux-Console.net • 2019-2024