WPScan - ഒരു ബ്ലാക്ക് ബോക്സ് വേർഡ്പ്രസ്സ് വൾനറബിലിറ്റി സ്കാനർ
വേർഡ്പ്രസ്സ് വെബിലുടനീളം ഉണ്ട്; അവിടെയുള്ള ഏറ്റവും ജനപ്രിയവും ഏറ്റവും കൂടുതൽ ഉപയോഗിക്കുന്നതുമായ ഉള്ളടക്ക മാനേജ്മെന്റ് സിസ്റ്റം (CMS) ആണ്. നിങ്ങളുടെ വെബ്uസൈറ്റോ ബ്ലോഗോ വേർഡ്uപ്രസ്സ് നൽകുന്നതാണോ? ക്ഷുദ്രകരമായ ഹാക്കർമാർ എല്ലാ മിനിറ്റിലും വേർഡ്പ്രസ്സ് സൈറ്റുകളെ ആക്രമിക്കുന്നത് നിങ്ങൾക്കറിയാമോ? നിങ്ങൾ ചെയ്തില്ലെങ്കിൽ, ഇപ്പോൾ നിങ്ങൾക്കറിയാം.
നിങ്ങളുടെ വെബ്uസൈറ്റോ ബ്ലോഗോ സുരക്ഷിതമാക്കുന്നതിനുള്ള ആദ്യപടി ഒരു അപകടസാധ്യത വിലയിരുത്തുക എന്നതാണ്. ഇത് നിങ്ങളുടെ സൈറ്റിലോ അതിന്റെ അടിസ്ഥാന വാസ്തുവിദ്യയിലോ ഉള്ള പൊതുവായ സുരക്ഷാ പഴുതുകൾ (പൊതുജനങ്ങൾക്ക് അറിയാവുന്ന) തിരിച്ചറിയാനുള്ള ഒരു പ്രവർത്തനമാണ്.
ഈ ലേഖനത്തിൽ, സുരക്ഷാ പ്രൊഫഷണലുകൾക്കും വെബ്uസൈറ്റ് പരിപാലിക്കുന്നവർക്കും അവരുടെ വെബ്uസൈറ്റുകളുടെ സുരക്ഷ പരിശോധിക്കുന്നതിനായി സൃഷ്ടിച്ച ഒരു സൗജന്യ സ്കാനറായ WPScan എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാമെന്നും ഉപയോഗിക്കാമെന്നും ഞങ്ങൾ നിങ്ങളെ കാണിക്കും.
ലിനക്സ് സിസ്റ്റങ്ങളിൽ WPScan എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാം
WPScan ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനും പ്രവർത്തിപ്പിക്കുന്നതിനുമുള്ള ശുപാർശ ചെയ്യപ്പെടുന്ന മാർഗ്ഗം ഔദ്യോഗിക ഡോക്കർ ഇമേജ് ഉപയോഗിക്കുക എന്നതാണ്, ഇത് ഇൻസ്റ്റാളേഷൻ പ്രശ്നങ്ങൾ (സാധാരണ ഡിപൻഡൻസി പ്രശ്നങ്ങൾ) ഒഴിവാക്കാൻ നിങ്ങളെ സഹായിക്കും.
നിങ്ങളുടെ സിസ്റ്റത്തിലേക്ക് ഡോക്കർ റിപ്പോസിറ്ററി ചേർക്കുകയും ആവശ്യമായ പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുകയും ചെയ്യുന്ന ഒരു ഷെൽ സ്ക്രിപ്റ്റ് ഡൗൺലോഡ് ചെയ്ത് പ്രവർത്തിപ്പിക്കുന്നതിന് നിങ്ങൾക്ക് cURL പ്രോഗ്രാം ഉണ്ടായിരിക്കണം.
$ sudo curl -fsSL https://get.docker.com | sh
ഡോക്കർ വിജയകരമായി ഇൻസ്uറ്റാൾ ചെയ്uതുകഴിഞ്ഞാൽ, സേവനം ആരംഭിക്കുക, സിസ്റ്റം ബൂട്ട് സമയത്ത് അത് സ്വയമേവ ആരംഭിക്കാൻ പ്രാപ്uതമാക്കുക, താഴെപ്പറയുന്ന രീതിയിൽ പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കുക.
# sudo systemctl start docker # sudo systemctl enable docker # sudo systemctl status docker
അടുത്തതായി, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് WPScan ഡോക്കർ ഇമേജ് വലിക്കുക.
$ docker pull wpscanteam/wpscan
WPScan ഡോക്കർ ഇമേജ് ഡൗൺലോഡ് ചെയ്തുകഴിഞ്ഞാൽ, താഴെ പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങളുടെ സിസ്റ്റത്തിലെ ഡോക്കർ ഇമേജുകൾ ലിസ്റ്റ് ചെയ്യാം.
$ docker images
ഇനിപ്പറയുന്ന സ്uക്രീൻഹോട്ടിൽ നിന്നുള്ള ഔട്ട്uപുട്ട് നോക്കുമ്പോൾ, WPScan റിപ്പോസിറ്ററി ഇമേജ് wpscanteam/wpscan ആണ്, അത് നിങ്ങൾ അടുത്ത വിഭാഗത്തിൽ ഉപയോഗിക്കും.
WPScan ഉപയോഗിച്ച് വേർഡ്പ്രസ്സ് വൾനറബിലിറ്റി സ്കാൻ എങ്ങനെ നടത്താം
WPScan ഉപയോഗിച്ച് ഒരു അപകടസാധ്യത സ്കാൻ ചെയ്യുന്നതിനുള്ള ഏറ്റവും ലളിതമായ മാർഗ്ഗം, കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ WordPress വെബ്സൈറ്റിന്റെ URL നൽകുക എന്നതാണ് (നിങ്ങളുടെ സൈറ്റിന്റെ URL ഉപയോഗിച്ച് www.example.com മാറ്റിസ്ഥാപിക്കുക).
$ docker run wpscanteam/wpscan --url www.example.com
സെർവർ (വെബ് സെർവർ തരവും പതിപ്പും), X-POWERED-BY (PHP പതിപ്പ്) പോലുള്ള രസകരമായ HTTP തലക്കെട്ടുകൾ കണ്ടെത്താൻ WPScan ശ്രമിക്കും; ഇത് ഏതെങ്കിലും തുറന്നുകാട്ടപ്പെട്ട API-കൾ, RSS ഫീഡ് ലിങ്ക്, ഉപയോക്താക്കൾ എന്നിവയ്ക്കായി നോക്കും.
തുടർന്ന് അത് വേർഡ്പ്രസ്സ് പതിപ്പ് എണ്ണിത്തിട്ടപ്പെടുത്തുകയും അത് കാലികമാണോ അല്ലെങ്കിൽ കണ്ടെത്തിയ പതിപ്പ് നമ്പറുമായി ബന്ധപ്പെട്ട എന്തെങ്കിലും കേടുപാടുകൾ ഉണ്ടോ എന്ന് പരിശോധിക്കുകയും ചെയ്യും. കൂടാതെ, തീമും ഇൻസ്റ്റാൾ ചെയ്ത പ്ലഗിനുകളും കാലികമാണെന്ന് കണ്ടെത്താൻ ഇത് ശ്രമിക്കും.
ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് 30 ത്രെഡുകൾ ഉപയോഗിച്ച് എണ്ണപ്പെട്ട ഉപയോക്താക്കളിൽ നിങ്ങൾക്ക് വേഡ്uലിസ്റ്റ് പാസ്uവേഡ് ബ്രൂട്ട് ഫോഴ്uസ് നടത്താൻ കഴിയും. --wordlist
, --threads
ഫ്ലാഗുകൾ വേഡ്uലിസ്റ്റ് വ്യക്തമാക്കുന്നതിനും ത്രെഡുകളുടെ എണ്ണം സ്വീകാര്യമായി സജ്ജമാക്കുന്നതിനും.
$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --threads 30
\അഡ്മിൻ ഉപയോക്തൃനാമത്തിൽ മാത്രം ഒരു വേഡ്uലിസ്റ്റ് പാസ്uവേഡ് ബ്രൂട്ട് ഫോഴ്uസ് നടപ്പിലാക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.
$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --username admin
പകരമായി, നിങ്ങളുടെ സിസ്റ്റത്തിലെ ഒരു പ്രാദേശിക വേഡ്uലിസ്റ്റ് ഡോക്കർ കണ്ടെയ്uനറിലേക്ക് മൗണ്ട് ചെയ്യാനും ഉപയോക്തൃ അഡ്uമിനിനായി ഒരു ബ്രൂട്ട്uഫോഴ്uസ് ആക്രമണം ആരംഭിക്കാനും കഴിയും.
$ docker run -it --rm -v ~/wordlists:/wordlists wpscanteam/wpscan --url www.example.com --wordlist /wordlists/wordlist_file.txt --username admin
ഇൻസ്റ്റാൾ ചെയ്ത പ്ലഗിനുകൾ കണക്കാക്കാൻ, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.
$ docker run wpscanteam/wpscan --url www.example.com --enumerate p
ഇൻസ്റ്റാൾ ചെയ്ത പ്ലഗിനുകൾ എണ്ണിയാൽ മതിയാകുന്നില്ലെങ്കിൽ, കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങൾക്ക് എല്ലാ എണ്ണൽ ഉപകരണങ്ങളും പ്രവർത്തിപ്പിക്കാം.
$ docker run wpscanteam/wpscan --url www.example.com --enumerate
ഔട്ട്പുട്ട് ഡീബഗ്ഗിംഗ് പ്രവർത്തനക്ഷമമാക്കാൻ, --debug-output
ഫ്ലാഗ് ഉപയോഗിക്കുക, പിന്നീടുള്ള വിശകലനത്തിനായി ഔട്ട്പുട്ട് ഒരു ഫയലിലേക്ക് റീഡയറക്ട് ചെയ്യുക.
$ docker run wpscanteam/wpscan --url www.example.com --debug-output 2>debug.log
അവസാനത്തേത് എന്നാൽ ഏറ്റവും കുറഞ്ഞത്, ഇനിപ്പറയുന്ന കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നതിലൂടെ നിങ്ങൾക്ക് WPScan ന്റെ ഡാറ്റാബേസ് ഏറ്റവും പുതിയ പതിപ്പിലേക്ക് അപ്ഡേറ്റ് ചെയ്യാൻ കഴിയും.
$ docker run wpscanteam/wpscan --update
ഈ കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഡോക്കറും WPScan സഹായ സന്ദേശങ്ങളും കാണാൻ കഴിയും.
$ docker -h $ docker run wpscanteam/wpscan -h
WPScan Github ശേഖരം: https://github.com/wpscanteam/wpscan
ഇപ്പോഴത്തേക്ക് ഇത്രമാത്രം! നിങ്ങളുടെ വെബ് സെക്യൂരിറ്റി ടൂളുകളുടെ ആയുധപ്പുരയിൽ ഉണ്ടായിരിക്കേണ്ട ശക്തമായ ഒരു ബ്ലാക്ക് ബോക്സ് വേർഡ്പ്രസ്സ് വൾനറബിലിറ്റി സ്കാനറാണ് WPScan. ഈ ഗൈഡിൽ, ചില അടിസ്ഥാന ഉദാഹരണങ്ങൾ ഉപയോഗിച്ച് WPScan എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാമെന്നും ഉപയോഗിക്കാമെന്നും ഞങ്ങൾ കാണിച്ചുതന്നു. എന്തെങ്കിലും ചോദ്യങ്ങൾ ചോദിക്കുക അല്ലെങ്കിൽ അഭിപ്രായങ്ങളിൽ നിങ്ങളുടെ ചിന്തകൾ ഞങ്ങളുമായി പങ്കിടുക.