WPScan WordPress Security Tool


  1. [​IMG]

    WordPress Security Scanner

    Возможности:

    • Username enumeration (from author querystring and location header)
    • Weak password cracking (multithreaded)
    • Version enumeration (from generator meta tag)
    • Vulnerability enumeration (based on version)
    • Plugin enumeration (2220 most popular by default)
    • Plugin vulnerability enumeration (based on version)
    • Plugin enumeration list generation
    • Other misc WordPress checks (theme name, dir listing, ...)

    Установка:

    для работы нужны Ruby gems, typhoeus и xml-simple

    Код:
    sudo apt-get install libcurl4-gnutls-dev
    Код:
    sudo apt-get install libopenssl-ruby
    Код:
    sudo gem install typhoeus
    Код:
    sudo gem install xml-simple

    Остальные OC
    http://wpscan.googlecode.com/svn/trunk/README

    сам сканер


    darkc0de:

    Код:
    wget [url]http://static.hackersgarage.com/darkc0de.lst.gz[/url]
    gunzip darkc0de.lst.gz
    Examples:

    Do ‘non-intrusive’ checks…

    Код:
    ruby ./wpscan.rb --url www.xaker.name
    Do wordlist password brute force on enumerated users using 50 threads…

    Код:
    ruby ./wpscan.rb --url www.xaker.name --wordlist darkc0de.lst --threads 50
    Do wordlist password brute force on the ‘admin’ username only…

    Код:
    ruby ./wpscan.rb --url www.xaker.name --wordlist darkc0de.lst --username admin
    Generate a new ‘most popular’ plugin list, up to 150 pages…

    Код:
    ruby ./wpscan.rb --generate_plugin_list 150
    Enumerate instaled plugins…

    Код:
    ruby ./wpscan.rb --enumerate p
    Видео с демонстрацией работы сканера

    Video of WPScan in Action:
    http://www.youtube.com/watch?v=I4EhLn-8EQs&feature=player_embedded

    Video of the first PoC:
    http://www.youtube.com/watch?v=pRj3G12xFjU&feature=player_embedded

    Home: http://code.google.com/p/wpscan/

    З.Ы. тестил на онтаркеном блоге (с его разрешения естесно) что было найдено - пофиксено, сканить даже не пытайтесь, непослушные будут жестоко наказаны:fuck:
     
    1 человеку нравится это.
  2. Отличная софтина)
    Подобное мы хотели когда то написать :)
    Но а теперь приват идея превратилась в паблик софт :D
     
  3. О, да, приват стопудовый *xD*

    Забугорные ресурсы чаще читать надо, там очень много опенсурсного добра, которое у нас за деньги готовы продавать.
     
  4. *mrgreen*
    пы.сы. солью баги блога onthar.in, стучать в осеку. цена 900000 $, жаббер онтара в подарок.

    Говорила мне учительница, нужно было учить инглиш в школе, гуглотранслит жжет с переводами англоязычных ресурсов
     
  5. onthar, да утрированно ведь сказано)
    Насчет забугор ресурсов это да. Только вот когда на одном из них где я сидел, сделали проход только через проксю (юсы), забил на них :)
    псы
    Я с их файлообменником до сих пор не разобрался оО
    _________
    Кста, под винду кто то пробовал? Пойдет?
    На офф сайте написано что не тестировалось.
     
  6. дык попробуй, потом расскажешь;)
    а так должна пойти, если поставить все то что ему нужно, и умудришься запустить руби
     
  7. Да, запустил я его на XP. Работает всё как надо, хотя и немного с багами.
     
  8. Fooog, опишешь как - добавлю в первый пост)
     
    1 человеку нравится это.
  9. Попробую переделать под другой движок, тогда мб статью накатаю :)