[Tool] Sử dụng WPScan để pentest site mã nguồn WordPress

367

Sử dụng WPScan để pentest site mã nguồn WordPress

Hôm nay mình sẽ hướng dẫn các bạn cài đặt tool WPScan, một black box pentest tool dùng để thăm dò đánh giá các lỗ hổng bảo mật mà một site WordPress có thể dính phải, được phát triển bởi đội ngũ WPS Team trực thuộc công ty bảo mật Sucuri.

Các bạn lưu ý là tool pentest WPScan chỉ cung cấp cho chúng ta cái nhìn tổng quan dựa trên chương trình tự động quét tìm lỗi. Ta không nên tin hoàn toàn vào kết quả được xuất ra, chỉ nên sử dụng nó để tham khảo đánh giá về site đối tượng đang pentest.

Bây giờ mình sẽ hướng dẫn các bạn cài đặt trên Ubuntu/Debian/MAC và Centos.

1. Cài đặt Git

Mac/Debian/Ubuntu

Fedora/Centos

 

2. Cài đặt các gói dependencies Linux

Ubuntu 14.04+

Before Ubuntu 14.04

Debian

Fedora

 

3. Cài đặt WPScan từ Github

Chúng ta sẽ download wpscan folder vào thư mục root hoặc đường dẫn tùy ý bạn.

 

4. Cài đặt Bundler

– WPScan là một ứng dụng ngôn ngữ Ruby, sử dụng gem cho các hoạt động ứng dụng. Bây giờ ta sẽ sử dụng Bundler để giúp “gem” và “WPScan” cùng các gói dependencies luôn được cập nhật hiệu quả.

– Các bạn đứng ở thư mục wpscan.

Mac

Ubuntu

Debian

Fedora

 

5. Chạy WPScan

 

6. Kiểm tra website bằng WPScan

– Phần này các bạn tự thực hành và khám phá nhé.

– Các nội dung về lỗi bảo mật mà WPScan xuất ra, bạn sẽ dùng các thông tin đó để tra cứu trên Internet hoặc tra cứu trực tiếp từ hệ thống database bảo mật WordPress có link như sau : https://wpvulndb.com/

– Các bạn search thông tin trên trang link mà mình đã đưa nhé.

Chúc các bạn thành công.

Đánh giá sao từ người đọc :
[ Tổng : 0 - Trung bình: 0 ]