Проверяем WordPress сайт на уязвимости

30 апреля, 2023
1 минута чтения

Проверка сетевой инфраструктуры

WhatWeb — это утилита сканирования веб-сайтов, которая позволяет определить используемую CMS (систему управления контентом) и другие веб-технологии на целевом сайте. Это может помочь исследователям безопасности и хакерам определить слабые места в системе безопасности и провести атаку. WhatWeb также может выявлять используемые скрипты, фреймворки, CMS-плагины и версии серверного ПО.

Исходный код

https://github.com/urbanadventurer/WhatWeb

Установка

wget -c https://github.com/urbanadventurer/WhatWeb/archive/refs/tags/v0.5.5.tar.gz -O - | tar -xz && cd WhatWeb-0.5.5

Запуск

./whatweb -a3 https://baskovsky.ru

Сканируем сайт

WPScan — это мощный сканер безопасности для WordPress, который может использоваться для обнаружения уязвимостей в WordPress-сайтах. Он использует базу данных уязвимостей и методы перебора для обнаружения возможных уязвимостей в WordPress-сайте. Одной из его основных возможностей является автоматическое определение версии WordPress на целевом сайте. Это особенно полезно, так как многие уязвимости связаны с конкретными версиями WordPress или плагинов, используемых на сайте. 

Исходный код

https://github.com/wpscanteam/wpscan

Установка

brew install wpscanteam/tap/wpscan

# Запускаем redis
brew services start redis
# Обновляем базу данных
wpscan --update

Пример запуска

wpscan --stealthy --url https://baskovsky.ru --enumerate u --plugins-detection aggressive

Проверяем возможности SQL-инъекции

SQLMap — это инструмент для тестирования на проникновение веб-приложений, который автоматически обнаруживает и эксплуатирует уязвимости SQL-инъекций в различных СУБД для извлечения информации или выполнения произвольного кода на сервере.

Исходный код

https://github.com/sqlmapproject/sqlmap

Установка

brew install python3 sqlmap

Дополнительные расширения

В качестве проверки XSS уязвимости рекомендую поставить расширение XSStrike.

Пример запуска

sqlmap -u http://baskovsky.ru/page.php?id=2 --dbs -o -random-agent

Денис Сергеевич Басковский

Философ, изобретатель и поэт.

Добавить комментарий Отменить ответ

gemini protocol
Предыдущая статья

Протокол Gemini: новый шаг в развитии интернета

Создание опроса
Следующая статья

Делаем опросы используя Яндекс.Взгляд

Exit mobile version