Bu yazımızda sizler için WordPress Açık Tarayıcı Wpseku Kullanımı anlatacağız.
WordPress Nedir ?
WordPress, 2003 yılında PHP ile yazılmış açık kaynaklı CMS (İçerik Yönetim Sistemi) dir.
Günümüzde kullanılan internet sitelerinin çoğunluğu wordpress ile oluşturulmaktadır.
Bu yazımızda WordPress sitelerinde ki güvenlik açıklarını tespit eden aracı inceleyeceğiz.
Wpseku Kullanımı
Wpseku wordpress tabanlı siteleri taramak için kullanılan araçtır.
WordPress tabanlı sitelerde kullanılan eklentiler,temalar,dizin taraması,SQL,XSS,LFI, açıklarını tespit edebilmektedir.
İstediğiniz taktirde brute force saldırıları yapabilirsiniz.
Güvenlik açıklarını [+] içerisinde göstermektedir. Eğer exploit edebilieceğiniz açıklar varsa vuln exploit.db olarak gösterebilir.
WPSeku Github üzerinden indirebilirsiniz.
Wpseku Kullanımı Parametreleri
Kullanımı:. /wpseku.py [--target / - t] http://localhost -t -- target Hedef URL'si (örn: http://localhost) - x -xss XSS açıklarını test etme - s --sql SQL açıklarını test etme - l --lfı LFI açıklarını test etme - q -- sorgu Test Edilebilir parametreler (örneğin: "id = 1 & test=1") - b -- xmlrpc üzerinden Brute force atakları - u -- user Kullanıcı adını ayarla, default = admin - p -- proxy Proxy ayarla, (ana bilgisayar: bağlantı noktası) - m -- yöntem Ayarlama yöntemi (GET / POST) - c -- çerez Seti çerezleri - w -- kelime listesi Kelime listesini ayarla - a -- agent Kullanıcı aracısı ayarla - r -- redirect Hedef url'yi yeniden yönlendir, default = True - h -- yardım Bu yardımı göster ve çık Örnekler: wpseku.py --target http://localhost wpseku.py -t http://localhost/wp-admin/post.php-m GET-q "gönderi = 49 & eylem = düzenle"[- x, - s, - l] wpseku.py --target http://localhost -- wordlist -- kelime listesi.txt wpseku.py --target http://localhost -wordlist-kullanıcı testi - kelime listesi dict.txt
1- “cd Masaüstü” yazarak masaüstüne geçiş yapalım.
“git clone https://github.com/NoorQureshi/WPSeku-1“ yazarak programı indirmeye başlayalım.
2- “pip install -r requirements.txt” yazarak kurulumu tamamlayalım.
3- “python wpseku.py” yazarak programı çalıştıralım.
4- “python wpseku.py –target https://www.hedefsite.com” ile taramayı başlatalım.
Bu parametre ile siteyi kapsamlı olarak taramasını başlatıyoruz.
Sitede öncelikle .htaccess, admin panelini, wp-config, wp-content gibi dosyaları taramaktadır.
Hedef sitede eklenti ve temalar güncel değilse açıkları belirterek exploit yollarını göstermekdir.
Açık bulursa + işareti içerisinde size açığı belirtecektir.
5- WordPress tabanlı olan siteleri tararken kapsamlı olarak size eklentilerini, temalarını göstermektedir.
Sorumluluk Reddi: Bu program bilgilendirme ve eğitim amaçlı anlatılmıştır. Programın kötüye kullanımından Siber Güvenlik Portalı kesinlikle sorumluluk almaz.