WPScan használata alapok

WPScan és alaphasználata a WP – azaz WordPress – biztonsági réseinek felkutatásra.

Elöljáróban el kell mondni, hogy nem támadó, hanem biztonsági téma lesz. Bár egy minimális adatforgalmat generálunk az adott honlapon, de maga a WPScan használata nem támadás. A kapott eredmények felhasználhatóak lehetnek egy támadásra, vagy esetleg egy feltörésre is, de mindenkit figyelmeztetek! A számítógépes, internetes támadásokat a törvény igen szigorúan büntetni. Amit leírok azt arra használd, amire teljesen legálisan lehet, sőt szerintem kell is: a saját honlapod hiányosságainak a felderítésére.

Így soha ne használd más oldalának a szkennelésére! Egyrészt nem jó dolog, és etikátlan, másrészt komoly gondjaid is lehetnek, ha bepróbálkozol az idegen oldal feltörésébe. A legtöbb tárhely szolgáltató figyeli az illegális tevékenységet, és ha problémásnak ítéli, fel is fog jelenteni. Így már nem csak a haver, exbarát, exbarátnő oldala ellen követsz el valamit, hanem a szolgáltató ellen, ami komolyabb probléma. Használd arra, amire lehet: a saját oldaladat nézd meg biztonsági oldalról és ha kell javíts rajta.

A program telepítése

Az Arch rendszeren elérhető a tárolókban, így nem okoz ez gondot senkinek. Simán lefut a telepítés.

Debian és egyéb rendszerek alatt előbb a tárolókat nézd meg, majd ha nem elérhető, akkor a WPScan github oldalukon köved a leírásokat.

A WPScan alap használata

Első lépésben érdemes lefutatni a

wpscan - -url htpps://sajatoldalad.hu

keresést. Egy csomó információt kapsz az oldaladról, és a telepített pluginokról stb. Itt pár fontos teendő van. A WPScan listájában keress olyan plugineket, amiket nem használsz. Majd amire nincs szükséged, azokat távolítsd el. Ne csak kikapcsold, hanem szedd is le! Szerintem amit az elmúlt negyed évben nem használtál, arra nincs is szükséged. Ha lesz, visszateszed…

A következő lépés megnézni a frissítéseket, és ami régen lett frissítve azt érdemes lefrissíteni. Majd kikeresni azokat is, amik régen nem kaptak új verziót: Latest Version: 1.6.5 (up to date). Ha ilyen van, akkor érdemes lecserélni egy karbantartottra. Itt ne automatikusan jár el! Nem biztosan rossz és sérülékeny az adott eszköz, ha nem frissül naponta. Nézd utána a https://wpscan.com/plugins oldalon is!

Amire még ki lehet térni, bár ez már szubjektivitáson alapul, a bizalmi index. Ha valamelyik pligin alacsony értéket kap, akkor azt cseréld le. Version: 1.9.11 (30% confidence) ilyeneket keress.

Ha ezt megtetted, akkor már sokkal jobb lesz a biztonság: csak azt találni meg az oldalon, amire szükség van és az is a legfrissebb. Bár ezt a WPScan nélkül is megteheted, de ha már van ilyen megoldás, akkor tegyük kényelmesebbé a biztonsági ellenőrzést.

Ha nem jelenik meg semmi adat, akkor van lehetőséged a – -force kapcsolóra, ami kicsit erőteljesebben próbál kérdezni az oldalon. Akkor lehet ilyenre szükség, ha a weboldalad elrejti az adatokat, bár ha ilyen van, akkor azt tudatosan tetted meg.

WPScan biztonsági ellenőrzés

A biztonsági rések kereséséhez be kell szerezni egy API-tokent a WPScan webhelyéről.

Ingyenes. A token használatával naponta 25 sebezhetőségi vizsgálatot hajthatunk végre. További beolvasásokért egy jelképes árat kell fizetni. A 25 az viszonylag kevés, de egy kisebb honlapra elegendő. Igen! Nem 25 oldalt tesztelhetünk az ingyenes verzióval, hanem 25 beolvasást tehetünk, ami annyit jelent: egy plugin egy beolvasás stb. Ebből is látni, hogy nem kifejezetten a destruktivitás a cél. Az ingyenes verzió teljesen alkalmatlan a mennyiségi korlát miatt több oldal napi tesztelésére, a hiányosságok felderítésére, vagy jelszó feltörésre.

Adatok megadása, megerősítő levél, és belépés után a WPScan oldalon a fiókodban ott lesz a kulcsod. Kimásolod és már kész is van. Az egész művelet egy perc volt.

Miután megkaptad a tokent, használni kell az –api-token opciót A biztonsági rések adatai a vizsgálat után automatikusan megjelennek egy, vagy több link formájában a kiírásban. Így ne piros vagy villogó kiírést keress, vagy szíréna hangra várj.

wpscan - -url htpps://sajatoldalad.hu --api-token akapottkódsor

Itt már több információ jön, és egyes helyeken a találsz olyan linkeket melyek több információt adnak az adott témáról. Ezek egy része tanács a probléma megoldására, egy része lehet sima leírás. Ezeket érdemes elolvasni. Ha nem használsz sok, kevésbé ismert plugint és normális tárhelyszolgáltatónál vagy (illetve aki feltette az alap WP-det) akkor nem lesznek tucatszám ilyen linkek!

Nagy odafigyeléssel járj el! Minden link hasznos lehet, de a leírtak végrehajtása, értelmezése már a Te feladatod. Ha valamit nem értesz. akkor olvass utána.

A 25 beolvasás viszonylag kevés, így pontosan járj el, hiszen számolja, és ha kifutsz a többszöri próbálkozásból, akkor csak a következő nap tudod folytatni.

Ha kissé invazívabb vizsgálatot szeretnél, amely potenciálisan több sebezhetőséget vagy információt tár fel, megadhatsz egy másik érzékelési típust az –detection-mode opcióval. Ilyenkor a

wpscan – -url htpps://sajatoldalad.hu –api-token akapottkódsor –detection-mode aggressive

lesz a fenti parancsból.

Ha a többi opcióra is kíváncsi vagy, akkor itt is a -h vagy a –hh kapcsoló segít.

Összefoglalva: Gyorsan és egyszerűen tudod biztonságosabbá tenni a WPScan futtatásával a honlapodat. Az API kód beszerzése után kapott infók közt kikeresed ahol van link és azokon lévő infót elolvasod, amit ajánlanak, megteszed.

A program alkalmas egyéb tevékenységre is, ami lehet törvénysértő. Soha nem próbálj olyan tevékenységet folytatni, ami más oldala ellen irányul, mert problémáid lesznek. Teszteld le a saját oldaladat, tedd jobbá és örülj az eredménynek. Semmilyen indokkal ne lépj túl a törvényes kereteken!

Az információs rendszer felhasználásával elkövetett csalás (Btk. 375 §), információs rendszer vagy adat megsértése (Btk. 423 §) és az információs rendszer védelmét biztosító technikai intézkedés kijátszása (Btk. 424 §) rész érdekes olvasmány lehet a magukat nagy heckernek gondolók körében. Sem a virtuális térben, sen a szerelem terén elszenvedett sérelem, sem a magamutogatás, hogy nagy hecker vagyok, mert Kali-t használok nem szerepel a kitételk közt, mint mentesítő kártya. Illetve az sem, ha magadat etikus heckernek mondod és “azért törtem fel, hogy segítsek neki a biztonságának növelésben” szólamokat hangoztatod.