Kako pronaći ranjivosti na WordPress stranici WP Scan Synapsint
Uvod
WPScan je alat dizajniran za profesionalce za sigurnost da nabrajaju WordPress web stranice i identifikuju potencijal ranjivosti. Može provjeriti verziju WordPressa, dodatke, teme, korisnička imena i slabe lozinke, između ostalog. Ovaj vodič će pokazati kako nabrojati i pronaći ranjivosti na WordPress web stranici koristeći WPScan. Osigurajte da imate izričitu pismenu dozvolu za testiranje web stranice prije nego što izvršite test.
Instalacija WPScan-a
Pokretanje skeniranja
- Osnovna naredba:
wpscan –url http://yourwordpresssite.com
- Korištenje opcija nabrajanja:
WPScan ima različite načine nabrajanja: pasivni, agresivni i mješoviti (podrazumevano).
Naredba za nabrajanje ranjivih dodataka, tema i korisnika
Primjeri:
– `–url`: Ciljni URL.
– `-e vp,vt,u`: opcije nabrajanja ranjivih dodataka (`vp`), ranjivih tema (`vt`) i nabrajanja korisnika (`u`).
– `–api-token`: Vaš WPScan API token.
Analiza rezultata skeniranja
Kada se skeniranje završi, vidjet ćete rezultate kategorizirane zelenim plus znakovima (informacija) i crvenim uzvicima (ranjivosti).
- Pregledajte zaglavlja i datoteke robota:
– WPScan će prikazati informacije iz WordPress zaglavlja i robotskih datoteka, što ponekad može otkriti zanimljive detalje.
- Provjerite teme i dodatke:
– Rezultati skeniranja će navesti teme, dodatke i sve poznate ranjivosti.
– Primjer: Tema s poznatom ranjivošću će biti detaljno prikazana, uključujući i fiksnu verziju.
- Ranjivosti i popravci:
– Za svaku pronađenu ranjivost, WPScan pruža reference i detalje.
– Primjer: Ranjivost skriptiranja na više lokacija (XSS) u dodatku Elementor. Ako web stranica koristi zastarjelu verziju, bit će označena i možete potražiti određeni CVE ili savjet za više detalja.
