WordPress安全掃描器 WPScan 1.1 發布
WPScan是一款使用ruby編寫、基于白盒測試的WordPress安全掃描器,它會嘗試查找WordPress安裝版的一些已知的安全弱點。WPScan可以輔助專業安全人員或是WordPress管理員評估他們的WordPress安裝版的安全狀況。
WordPress是一種使用PHP語言開發的博客平臺,用戶可以在支持PHP和MySQL 數據庫的服務器上架設自己的網志。也可以把 WordPress 當作一個內容管理系統(CMS)來使用。WordPress 是一個免費的開源項目,在GNU通用公共許可證下授權發布。
WordPress 被認為是Michel Valdrighi所開發的網志平臺b2 cafelog的正式繼承者。“WordPress”這個名字出自 Christine Selleck 的主意,他是主要開發者Matt Mullenweg的朋友。
它有以下幾個特點:
- 免費、開源
- 安裝方便、快捷。
- 可定制性非常高
- 眾多的插件和主題
海量的插件和主題可以說是 WordPress 最大的特色了,沒有哪一個 Blog 平臺擁有如此多的插件和主題,擁有如此多的用戶和愛好者。
Details
- Username enumeration (from author querystring and location header)
- Weak password cracking (multithreaded)
- Version enumeration (from generator meta tag and from client side files)
- Vulnerability enumeration (based on version)
- Plugin enumeration (2220 most popular by default)
- Plugin vulnerability enumeration (based on plugin name)
- Plugin enumeration list generation
- Other misc WordPress checks (theme name, dir listing, ...)
WPScan 1.1 主要改進內容有:
* Detection for 750 more plugins.
* Detection for 107 new plugin vulnerabilities.
* Detection for 447 possible timthumb file locations.
* Advanced version fingerprinting implemented.
* Full Path Disclosure (FPD) checks.
* Auto updates.
* Progress indicators.
* Improved custom 404 checking.
* Improved plugin detection.
* Improved error_log checking.
* Lots of bugs fixed.
* Lots of small tweaks.