WPScan merupakan tools vulnerability scanner untuk CMS Wordpress yang ditulis dengan menggunakan bahasa pemrograman ruby, WPScan mampu mendeteksi kerentanan umum serta daftar semua plugin dan themes yang digunakan oleh sebuah website yang menggunakan CMS Wordpress.
Dibawah ini akan saya berikan beberapa contoh penggunaan tools WPScan
Untuk melihat semua opsi yang dapat digunakan, ketikkan perintah
wpscan -h
Penggunaan "non-intrusif"
Kita tidak menambahkan opsi yang ada, ini hanya memberikan query instalasi WP untuk mengambil informasi dasar dari situs tersebut
wpscan -u (url target)
Selajutnya perintah untuk melihat plugin yang terinstall sekaligus melihat plugin yang terdapat vulnerability
wpscan -u (url target) --enumerate p
Hasil dari scanning
wpscan -u (url target) --enumerate t
Kemudian untuk melihat Informasi plugin timthumbs yang terinstall
wpscan -u (url target) --enumerate ttDari hasil scanning di atas tidak terdeteksi files timthumb
Nah sekarang kita coba untuk mencari username pada website yang menggunakan CMS Wondpress tersebut
wpscan -u (url target) --enumerate u
Hasil dari enumerating username, terdapat 5 username pada situs berbasis wordpress tersebut
Selain dapat digunakan enumerate username dan mencari vulnerability pada pulgin atau themes yang digunakan, WPScan juga dapat melakukan serangan bruteforce password juga. tentunya harus menggunakan wordlist.
Perintah untuk melakukan bruteforce seperti dibawah ini, sesuaikan username admin dengan yang muncul saat enumeration username
wpscan -u (url target) --wordlist darkc0de.lst --username admin
Itulah beberapa contoh dari penggunaan WPScan, artikel ini di buat hanya untuk pembelajaran semata, apabila ada penyalahgunaan dari tutorial ini , itu bukan tangggung jawab dari kami. Terima Kasih
0 Response to "Cek Celah Vulnerability CMS Wordpress Menggunakan WPScan"
Posting Komentar