شرح فحص المواقع من الثغرات باداة WPScan

بسم الله الرحمان الرحيم 



السلام عليكم و رحمة الله و تعالى و بركاته




شرح فحص المواقع من الثغرات باداة WPScan

اليوم ساشرح لكم طريقة فحص المواقع من الثغرات باستخدام اداة WPScan الموجودة بالعديد من توزيعات اختبار الاختراق 
مثل: Kali LinuxParrot OS -……etc
  • نبذة عن الاداة:
WPScan هي اداة مكتوبة بلغة ال Ruby تستخدم في فحص المواقع التي تستخدم سكربت WordPress فقط
تقوم بفحص الـ Plugins الموجود بالموقع وتخبرك اذا كانت مصابة ام ﻻ
ونفس الشئ مع الـ themes الموجودة بالموقع وبها ايضا المزيد من المهام
موقع الاداة لتحميلها اذا لم تكن موجودة لديك wpscan.org
  • اولا: تشغيل الاداة
نقوم بتشغيل الاداة عن طريق فتح ترمنال جديد وكتابة
wpscan
او
./wpscan.rbوسنجد واجهة الاداة كما في الصورة


  • ثانيا: طريقة فحص المواقع
نقوم بجلب اي موقع يستخدم سكربت WordPress ومن ثم نقوم بالتالي:
  • -اولا: فحص الـ Plugins
نقوم بكتابة الامر التالي
wpscan –url www.site.com –enumerate pهذا الامر لفحص الـPlugins الموجود بالموقع واخبارك اذا كانت مصابة ام ﻻ
كما في الصور


كما ترون يقوم بعرض اسم الاضافة + مسارها + مسار ملف الـReadme.txt
واذا كانت الاضافة مصابة يعرض لنا *عنوان/اسم* الثغرة وبعض الروابط التي تتكلم عن الثغرة وبعض هذه الروابط يكون مراجع وبعضها يكون استغلال للثغرة مثل موقع Exploit-db
  • -ثانيا: فحص الـThemes
نقوم بكتابة الامر التالي
wpscan –url www.site.com –enumerate tهذا الامر لفحص الـThemes  الموجود بالموقع واخبارك اذا كانت مصابة ام ﻻ
كما في الصورة

كما ترون في الصورة
تعرض لنا الاداة جميع الـThemes بالموقع
اسمها + مسارها + مسار ملف الاستايل .css + وصف + الموقع المٌصنع للـTheme والرابط الخاص بهم
وايضا اذا كان مصاب يُظهر لنا كما في الـPlugins
  • -ثالثا: فحص اليوزرز
نكتب الامر التالي
wpscan –url www.site.com –enumerate uهذا الامر لعرض اليوزرز الموجود بالموقع مثل: admin – omar – sara – Sophie – ….etc
كما بالصورة

ايضا يوجد الكثير من الاوامر بداخل الاداة ويمكن عرضها من خلال كتابة الامر
wpscan –helpسيعرض لك دليل لاستخدام الاداة
يوجد به جميع الاوامر وشرح بجوارها لما تقوم به
كما في الصورة



والى هنا اكون قد انتهيت واتمنى ان ينال الشرح اعجابكم وانتظروا المزيد من المقالات والشروحات





مع تحيات اعضاء مدونة محترفي الحماية الاختراق