Попробовал в батч-режиме пачку сайтов прогнать через wpscan. Он выводит список уязвимостей, но зачастую для них нужно быть авторизированным пользователем хоть с какими-то правами. Много разных xss (от них вообще есть толк, учитывая что в вп куки могут быть httponly?). Плюс многие линки с описанием баг довольно скудные, а иногда вообще инфы нет. Какие вообще реальные баги, которые могут хоть какую-то практическую пользу принести? Хотелось бы знать, чтобы в логах неделями не копаться а сразу обратить внимание. Теперь joomscan - параша параш как по мне, сайт изучает долго, выводит кучу ненужной и false-positive информации. Есть ли тулзы покачественеее джумскана? А, вот еще cmsmap пробовал, но он вообще ничего по делу не выводил и вылетал если сайт не wp,joomla или drupal. В последних версиях может пофиксили, конечно, но все же. В общем, хотелось бы услышать комментарии по теме - чем пользоваться, как кобминировать тулзы и тд. Ну вы понели.
Ну что касается joomscan забей на него нах он вата. Что касается WPscan он тоже ватный чисто так для беглого аудита. Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS. Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё Acunetix или Archni заюзать. Как варик можно ещё skipfish попробовать, и w3af. Удачи
Ну и для какой же он цели? Если мне не изменяет память, данная утилита используется, для сбора данных о всех известных уязвимостях в WordPress. Это даже близко к какому то мего сканеру как zap не относится, там вся работа сканера заключается в сборе информации и её чек на наличие уязвимостей как в самой cms так и плагинах установленных. Ну и плюс ковсему там вроде как брут есть ещё. По сути утилита сама не о чем, все этом можно и ручками определить если знаешь как. А что касается аудита я имел в виду аудита безопасности WordPress.
Ну и к великому сожалению большенство найденных багов этой утелитой как правило фуфлыжные. Очень маленький процент того что она даст тебе данные на живые уязвимости.
ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей
w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт? А что для полного аудита подходит?
вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.
Ошибочка w3af не только под nix он и под Win работает если нужно то вот качай тут. Для нормального Audita Web используй OWASP ZAP или Burp Suite Pro. Как по мне самый хороший вариант это OWASP ZAP если выбирать из утилит по безопасности. Но как выше и было сказано, лучше ручками, и иметь хоть какие то навыки программирования. Ибо без этих знаний сомневаюсь что что то понять можно будет начинающему пен-тестеру...
Я понимаю. Я про акунетиксы и w3af вообще спрашивал - такое впечатление что их применение чисто для генерации отчета по аудиту и ничего реального с помощью них не найти. По поводу багов в плагинах - конечно согласен, но я встречал в основном что на нужных сайтах плагинов стоит не много, а самые популярные плагины, понятное дело, уже всеми изучены и запатчены. Из реальных работающих багов были AFD и xss в админке WP 3.6, где редактор мог подсунуть код, который допишет шелл в темплейт страницы 404 нужной темы. Вот пожалуй и все что мне попадалось, но я повторюсь, что опыта в этом деле у меня не очень много. Я посмотрю что там за zap, по правде никогда не слышал о нем. Я вообще почему про конкретные сканеры движков спрашивал - потому что все эти аудиторы мягко говоря не ахти на практике. Какой-нибудь dirbuster полезнее будет, не? Да, и burp suite я углубленно не изучал, но он разве для автоматизированного поиска багов предназначен (не про версия)?
Они все для автоматического тестирования предназначены, что касаемо burp suite то для анализа и эксплуатации уязвимостей его можно применять по разному, в нем куча различных фишек есть, как на пример Burp Proxy, которая перехватывает HTTP/ HTTPS-трафик браузера и позволяет с помощью других утилит выполнять с данными различные действия. Для тестирования CMS я думаю будет не плоха использовать его. Но не надо думать что одной программой, можно протестировать сайт на 100% и найти кучу багов, как и в любом из тестов, проводится разведка и сбор информации. Потом полученные данные анализируются, проверяются на наличие в открытом доступе эксплоитов как на сам сервер так и на движок сайта если он из публичных. После этого только уже прибегаешь к помощи таких утилит как Burp или ZAP.
nikbim96, я понимаю что одной программой нельзя провести полный аудит. Вы сами-то считаете целесообразным использовать какой-нибудь акунетикс или в3аф: что полезное получилось находить?
Да тут все сканы разные, например овасп просматривает исходный код в к например <-- user admin pass 12345--> такое акунетикс не найдёт, а овасп найдёт. акунетикс работает хаатично, проверя на хсс и инклуд одновременно . запрос такой, запрос такой, овасп сперва пройдёт в поисках одной уязвимости, потом другой