Попробовал в батч-режиме пачку сайтов прогнать через wpscan. Он выводит список уязвимостей, но зачастую для них нужно быть авторизированным пользователем хоть с какими-то правами. Много разных xss (от них вообще есть толк, учитывая что в вп куки могут быть httponly?). Плюс многие линки с описанием баг довольно скудные, а иногда вообще инфы нет. Какие вообще реальные баги, которые могут хоть какую-то практическую пользу принести? Хотелось бы знать, чтобы в логах неделями не копаться а сразу обратить внимание. Теперь joomscan - параша параш как по мне, сайт изучает долго, выводит кучу ненужной и false-positive информации. Есть ли тулзы покачественеее джумскана? А, вот еще cmsmap пробовал, но он вообще ничего по делу не выводил и вылетал если сайт не wp,joomla или drupal. В последних версиях может пофиксили, конечно, но все же. В общем, хотелось бы услышать комментарии по теме - чем пользоваться, как кобминировать тулзы и тд. Ну вы понели.

Ну что касается joomscan забей на него нах он вата.

Что касается WPscan он тоже ватный чисто так для беглого аудита.

Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.

Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё Acunetix (http://www.acunetix.com/cross-site-scripting/scanner.htm) или Archni заюзать.

Как варик можно ещё skipfish попробовать, и w3af. Удачи

nikbim96 said:
↑ (https://antichat.live/posts/3953011/)
Ну что касается joomscan забей на него нах он вата.
Что касается WPscan он тоже ватный чисто так для беглого аудита.
Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.
Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё
Acunetix (http://www.acunetix.com/cross-site-scripting/scanner.htm)
или Archni заюзать.
Как варик можно ещё skipfish попробовать, и w3af. Удачи


wpscan вообще для другой цели, какой аудит?

yarbabin said:
↑ (https://antichat.live/posts/3953089/)
wpscan вообще для другой цели, какой аудит?


Ну и для какой же он цели? Если мне не изменяет память, данная утилита используется, для сбора данных о всех известных уязвимостях в WordPress.

Это даже близко к какому то мего сканеру как zap не относится, там вся работа сканера заключается в сборе информации и её чек на наличие уязвимостей как в самой cms так и плагинах установленных. Ну и плюс ковсему там вроде как брут есть ещё. По сути утилита сама не о чем, все этом можно и ручками определить если знаешь как. А что касается аудита я имел в виду аудита безопасности WordPress.

Ну и к великому сожалению большенство найденных багов этой утелитой как правило фуфлыжные. Очень маленький процент того что она даст тебе данные на живые уязвимости.

nikbim96 said:
↑ (https://antichat.live/posts/3953099/)
Ну и для какой же он цели? Если мне не изменяет память, данная утилита используется, для сбора данных о всех известных уязвимостях в WordPress.
Это даже близко к какому то мего сканеру как zap не относится, там вся работа сканера заключается в сборе информации и её чек на наличие уязвимостей как в самой cms так и плагинах установленных. Ну и плюс ковсему там вроде как брут есть ещё. По сути утилита сама не о чем, все этом можно и ручками определить если знаешь как. А что касается аудита я имел в виду аудита безопасности WordPress.


ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей

yarbabin said:
↑ (https://antichat.live/posts/3953122/)
ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей


нам за это не платят как вам, поэтому нам только автоматику

BabaDook said:
↑ (https://antichat.live/posts/3953127/)
нам за это не платят как вам, поэтому нам только автоматику


С таким подходом лучше вообще не работать

nikbim96 said:
↑ (https://antichat.live/posts/3953011/)
Ну что касается joomscan забей на него нах он вата.
Что касается WPscan он тоже ватный чисто так для беглого аудита.
Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.
Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё
Acunetix (http://www.acunetix.com/cross-site-scripting/scanner.htm)
или Archni заюзать.
Как варик можно ещё skipfish попробовать, и w3af. Удачи


w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт?


yarbabin said:
↑ (https://antichat.live/posts/3953122/)
ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей


А что для полного аудита подходит?

blackbox said:
↑ (https://antichat.live/posts/3953183/)
w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт?
А что для полного аудита подходит?


вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.

blackbox said:
↑ (https://antichat.live/posts/3953183/)
w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт?
А что для полного аудита подходит?


Ошибочка w3af не только под nix он и под Win работает если нужно то вот качай тут (https://sourceforge.net/projects/w3af/).

Для нормального Audita Web используй OWASP ZAP или Burp Suite Pro.

Как по мне самый хороший вариант это OWASP ZAP если выбирать из утилит по безопасности.

Но как выше и было сказано, лучше ручками, и иметь хоть какие то навыки программирования.

Ибо без этих знаний сомневаюсь что что то понять можно будет начинающему пен-тестеру...

yarbabin said:
↑ (https://antichat.live/posts/3953203/)
вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.


Я понимаю. Я про акунетиксы и w3af вообще спрашивал - такое впечатление что их применение чисто для генерации отчета по аудиту и ничего реального с помощью них не найти. По поводу багов в плагинах - конечно согласен, но я встречал в основном что на нужных сайтах плагинов стоит не много, а самые популярные плагины, понятное дело, уже всеми изучены и запатчены. Из реальных работающих багов были AFD и xss в админке WP 3.6, где редактор мог подсунуть код, который допишет шелл в темплейт страницы 404 нужной темы. Вот пожалуй и все что мне попадалось, но я повторюсь, что опыта в этом деле у меня не очень много.


nikbim96 said:
↑ (https://antichat.live/posts/3953243/)
Ошибочка w3af не только под nix он и под Win работает если нужно то вот качай
тут (https://sourceforge.net/projects/w3af/)
.
Для нормального Audita Web используй OWASP ZAP или Burp Suite Pro.
Как по мне самый хороший вариант это OWASP ZAP если выбирать из утилит по безопасности.
Но как выше и было сказано, лучше ручками, и иметь хоть какие то навыки программирования.
Ибо без этих знаний сомневаюсь что что то понять можно будет начинающему пен-тестеру...


Я посмотрю что там за zap, по правде никогда не слышал о нем. Я вообще почему про конкретные сканеры движков спрашивал - потому что все эти аудиторы мягко говоря не ахти на практике. Какой-нибудь dirbuster полезнее будет, не? Да, и burp suite я углубленно не изучал, но он разве для автоматизированного поиска багов предназначен (не про версия)?

psihoz26 said:
↑ (https://antichat.live/posts/3953143/)
С таким подходом лучше вообще не работать


Так я и не работаю


yarbabin said:
↑ (https://antichat.live/posts/3953203/)
вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.


+1

blackbox said:
↑ (https://antichat.live/posts/3953244/)
Я понимаю. Я про акунетиксы и w3af вообще спрашивал - такое впечатление что их применение чисто для генерации отчета по аудиту и ничего реального с помощью них не найти. По поводу багов в плагинах - конечно согласен, но я встречал в основном что на нужных сайтах плагинов стоит не много, а самые популярные плагины, понятное дело, уже всеми изучены и запатчены. Из реальных работающих багов были AFD и xss в админке WP 3.6, где редактор мог подсунуть код, который допишет шелл в темплейт страницы 404 нужной темы. Вот пожалуй и все что мне попадалось, но я повторюсь, что опыта в этом деле у меня не очень много.
Я посмотрю что там за zap, по правде никогда не слышал о нем. Я вообще почему про конкретные сканеры движков спрашивал - потому что все эти аудиторы мягко говоря не ахти на практике. Какой-нибудь dirbuster полезнее будет, не? Да, и burp suite я углубленно не изучал, но он разве для автоматизированного поиска багов предназначен (не про версия)?


Они все для автоматического тестирования предназначены, что касаемо burp suite то для анализа и эксплуатации уязвимостей его можно применять по разному, в нем куча различных фишек есть, как на пример Burp Proxy, которая перехватывает HTTP/ HTTPS-трафик браузера и позволяет с помощью других утилит выполнять с данными различные действия. Для тестирования CMS я думаю будет не плоха использовать его.

Но не надо думать что одной программой, можно протестировать сайт на 100% и найти кучу багов, как и в любом из тестов, проводится разведка и сбор информации. Потом полученные данные анализируются, проверяются на наличие в открытом доступе эксплоитов как на сам сервер так и на движок сайта если он из публичных. После этого только уже прибегаешь к помощи таких утилит как Burp или ZAP.

nikbim96, я понимаю что одной программой нельзя провести полный аудит. Вы сами-то считаете целесообразным использовать какой-нибудь акунетикс или в3аф: что полезное получилось находить?

Да тут все сканы разные, например овасп просматривает исходный код в к например такое акунетикс не найдёт, а овасп найдёт. акунетикс работает хаатично, проверя на хсс и инклуд одновременно . запрос такой, запрос такой, овасп сперва пройдёт в поисках одной уязвимости, потом другой

BabaDook said:
↑ (https://antichat.live/posts/3953618/)
Да тут все сканы разные, например овасп просматривает исходный код в к например такое акунетикс не найдёт, а овасп найдёт. акунетикс работает хаатично, проверя на хсс и инклуд одновременно . запрос такой, запрос такой, овасп сперва пройдёт в поисках одной уязвимости, потом другой


Какой овасп? (И какой тогда профи в акунетиксе?)

blackbox said:
↑ (https://antichat.live/posts/3953767/)
Какой овасп? (И какой тогда профи в акунетиксе?)


owasp-zap

blackbox said:
↑ (https://antichat.live/posts/3953609/)
nikbim96
, я понимаю что одной программой нельзя провести полный аудит. Вы сами-то считаете целесообразным использовать какой-нибудь акунетикс или в3аф: что полезное получилось находить?


OWASP ZAP

nikbim96 said:
↑ (https://antichat.live/posts/3954180/)
OWASP ZAP


Намек понял.

blackbox said:
↑ (https://antichat.live/posts/3954336/)
Намек понял.


Изучи OWASP ZAP как отче наш и другие сканеры тебе не понадобятся.

Это можно сказать один из самых крутых тулз что есть в открытом доступе.

И вообще начни изучать веб-хакинг с материалов OWASP тут (https://www.owasp.org/index.php/Main_Page)

Не всегда автоматизированными средствами удается что то стоящие найти.

Они как правило работаю по имеющемуся в них сценарию, а в OWASP ZAP их самому можно писать.

nikbim96 said:
↑ (https://antichat.live/posts/3954353/)
Изучи OWASP ZAP как отче наш и другие сканеры тебе не понадобятся.
Это можно сказать один из самых крутых тулз что есть в открытом доступе.
И вообще начни изучать веб-хакинг с материалов OWASP
тут (https://www.owasp.org/index.php/Main_Page)
Не всегда автоматизированными средствами удается что то стоящие найти.
Они как правило работаю по имеющемуся в них сценарию, а в OWASP ZAP их самому можно писать.


В целом про wh я понятие имею, но про zap раньше не слышал. Попробую конечно.

Акунетикс 10.5 более менее полезные вещи стал выводить для WP

grimnir said:
↑ (https://antichat.live/posts/3959191/)
Акунетикс 10.5 более менее полезные вещи стал выводить для WP


Есть крякнутый уже?

.Light. said:
↑ (https://antichat.live/posts/3959308/)
Есть крякнутый уже?


да, все по той же ссылке где обычно, у китайца

whatweb сдох и завонялся. Для угробищной рубя 1.8, на которой оно крутится, похоже надо собирать openssl отдельно. Есть что-нибудь похожее на whatweb?