- 17 Eyl 2023
- 1,349
- 623
Merhabalar Ben LordSUCCESS, Bugünki konumuz WPScan Aracı
WPScan Aracı Nedir
WPScan Aracı, WordPress tabanlı web sitelerinin güvenlik açıklarını ve zayıf noktalarını tespit etmek için kullanılan bir açık kaynaklı bir güvenlik aracıdır. Bu araç, WordPress'in herhangi bir güvenlik açığına karşı hassas olup olmadığını belirlemek için otomatik olarak tarama yapar. WPScan, sitenin zayıf noktalarını tespit etmek ve bu zayıf noktaların sömürülmesini engellemek için kullanıcıya çeşitli raporlar sağlar.
WPScan Aracı Ne İşe Yarar
WPScan, WordPress tabanlı web sitelerinin güvenlik açıklarını ve zayıf noktalarını tespit etmek için kullanılan bir güvenlik aracıdır. Başlıca işlevleri şunlardır:
- Güvenlik Açığı Taraması: WPScan, WordPress tabanlı bir web sitesini tarayarak olası güvenlik açıklarını tespit eder. Bu, WordPress çekirdeğindeki güvenlik açıkları, eklentilerdeki ve temalardaki güvenlik açıkları gibi çeşitli alanları kapsar.
- Eklenti ve Tema Analizi: WPScan, sitenin kullanmakta olduğu eklentileri ve temaları analiz eder. Bu eklentilerin ve temaların bilinen güvenlik açıkları olup olmadığını kontrol eder.
- Kullanıcı Adı ve Parola Kaba Kuvvet Saldırısı: WPScan, siteye kaba kuvvet saldırısı yaparak kullanıcı adı ve parola kombinasyonlarını deneyerek giriş yetkilendirmesini kırma girişimlerini tespit eder.
- Gelişmiş Raporlama: WPScan, tarama sonuçlarını ayrıntılı bir şekilde raporlar. Bu raporlar, tespit edilen güvenlik açıkları, potansiyel riskler, kullanılan eklenti ve temaların listesi gibi bilgileri içerir.
- Güvenlik İyileştirme Önerileri: WPScan, tespit edilen güvenlik açıklarına ilişkin öneriler sunar. Bu öneriler, sitenin güvenliğini artırmak için alınabilecek adımları içerebilir.
İlk Olarak Siteyi Tarayalım
İlk önce wpscan -h yazıp kullanacağımız parametreleri öğrenelim
--url parametresini kullanarak websitemizi veriyoruz
Taramayı başlatıp çıkan sonuçlara bakıyoruz
Bize hangi eklentinin güncel olmadını belirtiyor
Şimdi ise WPScan ile siteye Brute Force (Kaba Kuvvet) saldırısı yapalım
İlk olarak Kullanıcı adı bulalım
-e u parametresi ile kullanıcı adını bulduk bunu username diye bir dosyaya kaydedelim (Sadece 1 tane varsa dosyaya kaydetmenize gerek yok), sadece username ile kalmayız istediğimiz şeyi listeletebiliriz
Kullanacağımız parametreleri öğrendik, Wordlist gerekiyor Google'de basit aramadan sonra bulabiliriz, indirdikten sonra kalide bir dosyaya kaydediyoruz
Evet, Brute Force saldırı başladı, 540 satırdaki şifreyi deniyor ve 105096 satır şifre varmış bize 1 saat 13 dakika süreceğini söylüyor, Eğer şifreyi bulursa, Bulduğunda bildirecektir
Emeğe karşılık konuyu beğenip mesaj yazabilirsiniz,
Okuyan Herkese Teşekkür Ederim.
Okuyan Herkese Teşekkür Ederim.