வேர்ட்பிரஸ் உலகின் முதல் பிரபலமான உள்ளடக்க மேலாண்மை அமைப்பு (CMS) ஆகும். CMS என்றால் என்ன என்று நீங்கள் ஆச்சரியப்பட்டால். இந்த எளிய ஒப்புமையை நான் செய்ய விரும்புகிறேன். ஒரு வலைத்தளத்தை உருவாக்குவதில், ஆரம்பத்தில், HTML, JavaScript மற்றும் CSS உடன் கடின குறியீட்டைப் பயன்படுத்தி அதை அடைய முடியும். இது டெர்மினல் அல்லது கட்டளை வரி இடைமுகத்தில் காளி லினக்ஸ் நிரலை இயக்குவது போன்றது. அந்த நிரலாக்க மொழியைப் பற்றி உங்களுக்கு பூஜ்ஜிய அறிவு இருந்தால் அது சிரமமாக இருக்கும்.
வேர்ட்பிரஸ் போன்ற CMS இயங்குதளங்கள், எங்களுக்கு எளிதாக்குகின்றன. இது GUI பதிப்பு காளி லினக்ஸ் நிரலை இயக்குவது போன்றது. அது போன்ற விஷயங்களை மட்டும் கிளிக் செய்ய வேண்டும். வேர்ட்பிரஸ் எந்த தொழில்நுட்ப திறமையும் அல்லது வலை நிரலாக்க மொழி அறிவும் இல்லாத வலை நிர்வாகியை உள்ளடக்கத்தை உருவாக்குவதில் கவனம் செலுத்த அனுமதிக்கிறது. இது ஏராளமான கருப்பொருள்கள் மற்றும் செருகுநிரல்களையும் கொண்டுள்ளது. ஆனால் சில நேரங்களில், வேர்ட்பிரஸ், கருப்பொருள்கள் மற்றும் செருகுநிரல்களில் பாதிப்புகள் காணப்படுகின்றன.
பின்வரும் தலைப்புகளை விரிவாகக் கற்றுக்கொள்வோம்:
- WPScan இன் API டோக்கனைப் பெறவும்
- இலக்கின் வேர்ட்பிரஸ் பதிப்பை அடையாளம் காணவும்
- ஒரு வேர்ட்பிரஸ் தீம் கணக்கிடவும்
- வேர்ட்பிரஸ் செருகுநிரல்களைக் கணக்கிடுங்கள்
- ஒரு வேர்ட்பிரஸ் பயனரைக் கணக்கிடுங்கள்
- வேர்ட்பிரஸ், தீம் மற்றும் செருகுநிரல்களின் பாதிப்புகளை ஸ்கேன் செய்யவும்
தயாரிப்பு
WPScan இலவசம் மற்றும் ஏற்கனவே காளி லினக்ஸில் முன்பே நிறுவப்பட்டுள்ளது. உங்கள் கணினியில் WPScan இல்லை என்றால், நீங்கள் அதை apt நிறுவலைப் பயன்படுத்தி அல்லது GitHub இல் பதிவிறக்கம் செய்து நிறுவலாம். https://github.com/wpscanteam/wpscan . காளி லினக்ஸில் WPScan ஒரு திறந்த மூல கருவியாக இருந்தாலும். ஆனால் WPScan மற்றும் பிற இலவச கருவிகளுக்கு இடையே வேறுபாடு உள்ளது. WPScan பாதிப்பு ஸ்கேனரைப் பயன்படுத்த கொஞ்சம் கூடுதல் வேலை தேவைப்படுகிறது, எங்களுக்கு WPScan API டோக்கன் தேவை. இது இலவசம், நீங்கள் ஒரு கணக்கை மட்டும் உருவாக்க வேண்டும் https://wpscan.com .
- ஒரு கணக்கை பதிவு செய்யவும் https://wpscan.com கிளிக் செய்வதன் மூலம் தொடங்குங்கள் மேல் மூலையில் உள்ள பொத்தான்.
படம் . WPScan.com பதிவு செய்யவும்
பின்னர், தேவையான எந்த தகவலையும் நிரப்பவும் புதிய பயனர் பதிவு கீழே காட்டப்பட்டுள்ள படிவம்.
படம் . WPScan.com பயனர் பதிவு படிவம்
- உங்கள் பதிவுத் தகவலைச் சமர்ப்பித்தவுடன், உங்கள் மின்னஞ்சல் கணக்கை உறுதிப்படுத்த வேண்டும். உங்கள் அஞ்சல் பெட்டியைத் திறந்து, wpscan.com அனுப்பிய உறுதிப்படுத்தல் இணைப்பைக் கிளிக் செய்யவும்.
படம் . WPScan மின்னஞ்சல் உறுதிப்படுத்தல்
- உங்கள் மின்னஞ்சல் உறுதிப்படுத்தல் வெற்றிகரமாக முடிந்ததும், உங்கள் மீது கிளிக் செய்யவும் சுயவிவரம் பட்டியல்.
படம் . WPScan.com சுயவிவர மெனு
கீழே உள்ள படத்தில் காட்டப்பட்டுள்ளபடி உங்கள் API டோக்கனைக் காண்பீர்கள். அந்த டோக்கனை நகலெடுத்து ஒரு கோப்பில் சேமிக்கவும். நாங்கள் அதை பின்னர் முனையத்தில் பயன்படுத்துவோம்.
படம் . WPScan.com API டோக்கன் மதிப்பு
காளி லினக்ஸில் WPScan டுடோரியலுக்குச் செல்வதற்கு முன், நீங்கள் wpscan.com இல் என்ன தகவலைப் பெறலாம் என்பதை அறிமுகப்படுத்த விரும்புகிறேன். டெவலப்பர் இந்த கருவியை இன்னும் தீவிரமாக எடுத்துக்கொள்கிறார், இலவச கருவியை மட்டும் உருவாக்கவில்லை. அவர்களின் பணி மிகவும் சுவாரஸ்யமானது.
WPScan சேவை நிலை
WPScan கீழ்தோன்றும் மெனு பட்டியில் டெவலப்பருக்கு , கண்காணிக்க ஒரு பக்கம் இணைக்கப்பட்டுள்ளது நிலை WPScan அமைப்பு செயல்பாட்டில் உள்ளது.
படம் . டெவலப்பர்கள் மெனுவிற்கான WPScan.com
ஊடுருவல் சோதனையை நடத்தும்போது இந்த அறிக்கை முக்கியமானது மற்றும் சில பிழைகளை நாம் சந்திக்க நேரிடலாம். காளி லினக்ஸில் WPScan ஐ இயக்கும்போது பிழை ஏற்பட்டால், முதலில் கணினி ஆன்லைனில் உள்ளதா என்பதைச் சென்று பார்க்கவும் https://status.wpscan.com/ .
படம் . WPScan.com சேவை நிலை
எல்லாம் நன்றாக இயங்கும் போது, மேலே உள்ள படம் போன்ற ஒரு நிலையை நீங்கள் காண்பீர்கள்.
WPScan - வேர்ட்பிரஸ் CMS பாதிப்பு
ஒவ்வொரு பதிப்பிலும் காணப்படும் வேர்ட்பிரஸ் பாதிப்புகள் பற்றிய தகவலை WPScan வெளியிடுகிறது.
படம் . வேர்ட்பிரஸ் பாதிப்புகள்
பட்டியலில் உள்ள ஒவ்வொரு பாதிப்புக்கான விரிவான தகவலை நீங்கள் படிக்கலாம். எடுத்துக்காட்டாக, வேர்ட்பிரஸ் பதிப்பு 6.1.1 அல்லது அதற்குக் கீழே DSN ரீபைண்டிங் மூலம் அங்கீகரிக்கப்படாத குருட்டு SSRF இல் பாதிப்பு இருப்பதை பின்வரும் படம் காட்டுகிறது.
படம் . வேர்ட்பிரஸ் 6.1.1 பாதிப்பு தகவல்
WPScan - வேர்ட்பிரஸ் தீம் & செருகுநிரல் பாதிப்பு
WPScan தீம் மற்றும் சொருகி பாதிப்புத் தகவலையும் வெளியிடுகிறது.
படம் . வேர்ட்பிரஸ் தீம் பாதிப்புகள்
படம் .WordPress செருகுநிரல் பாதிப்புகள்
காளி லினக்ஸில் WPScan டுடோரியல்
நீங்கள் ஏற்கனவே WPScan மற்றும் API டோக்கனை நிறுவியுள்ளீர்கள் என்று கருதுகிறேன். முதலில், கிடைக்கக்கூடிய கட்டளை மற்றும் WPScan இன் பயன்பாட்டைப் பார்ப்போம். முழு தகவலையும் காண்பிக்க பின்வரும் கட்டளையை இயக்கவும்.
wpscan -hh 
படம் . காளி லினக்ஸ் டெர்மினலில் WPScan
WPScan பின்வரும் வாதத்தைப் பயன்படுத்தி ஒவ்வொரு ஸ்கேனுக்கும் ஒரு பயனர் முகவர் சீரற்றமயமாக்கலைப் பயன்படுத்தி ஃபயர்வால் ஏய்ப்பை வழங்குகிறது.
--rua அல்லது --random-user-agentநான் அடிக்கடி “–ஃபோர்ஸ்” கொடியைச் சேர்ப்பதால், குறியீட்டில் 403 பிழைக் குறியீடு அல்லது தடைசெய்யப்பட்ட பிழை இருந்தால், WPScan தொடர்ந்து ஸ்கேன் செய்யும்.
--படைபாதிப்பு ஸ்கேனர் அம்சத்தை இயக்க, பின்வரும் வாதத்தைப் பயன்படுத்தி எங்கள் API டோக்கனை வரையறுக்க வேண்டும்:
--api-டோக்கன் [TOKEN_VALUE]WPScan மூன்று வெவ்வேறு வடிவங்களில் உள்நுழைவதை ஆதரிக்கிறது: JSON, CLI மற்றும் CLI நிறம் இல்லாமல். பின்வரும் கட்டளையைப் பயன்படுத்தி வடிவத்தைத் தொடர்ந்து வெளியீட்டு கோப்பு பெயரை வரையறுப்பதன் மூலம் உங்கள் WPScan முடிவின் வெளியீட்டை நீங்கள் சேமிக்கலாம்:
-o அல்லது --அவுட்புட் [FILENAME]-f அல்லது --வடிவமைப்பு [FORMAT]
மேலே நாம் கற்றுக்கொண்ட WPScan கட்டளையிலிருந்து, சில வேர்ட்பிரஸ் இலக்குகளை ஸ்கேன் செய்து பயனர்கள், பாதிப்பு செருகுநிரல்கள் மற்றும் பாதிப்பு தீம் ஆகியவற்றைக் கணக்கிட முயற்சிப்போம். கணக்கீட்டைச் செய்ய, பின்வரும் வாதத்தைப் பயன்படுத்த வேண்டும்:
-e அல்லது --எண்யூமரேட் [விருப்பம்]எங்கள் நோக்கத்திற்கான கிடைக்கக்கூடிய விருப்பங்கள்:
| உள்ளே | பயனர்களைக் கணக்கிடுங்கள் |
| vp | பாதிக்கப்படக்கூடிய செருகுநிரல்களைக் கணக்கிடுங்கள் |
| vt | பாதிக்கப்படக்கூடிய கருப்பொருள்களைக் கணக்கிடுங்கள் |
இப்போது, இலக்கை நிர்ணயிப்போம் https://bssn.go.id மற்றும் WPScan மூலம் பாதிப்பை ஸ்கேன் செய்யவும். உடன் ஒரு WPScan ஐ இயக்க இயல்புநிலை விருப்பங்கள் அமைப்புகள், நீங்கள் பின்வரும் கட்டளையை இயக்கலாம்:
wpscan --url [URL]முதலில், WPScan வேர்ட்பிரஸ் பதிப்பு மற்றும் கண்டறியப்பட்ட பாதிப்பை அடையாளம் காணும், மீதமுள்ளவை நாம் பயன்படுத்தும் எண்ணிடப்பட்ட விருப்பங்களைப் பொறுத்தது.
படம் . வேர்ட்பிரஸ் 6.1.1 பாதிப்பு
மேலே உள்ள படத்தில் காட்டப்பட்டுள்ளபடி, எங்கள் இலக்கு ஒரு வேர்ட்பிரஸ் பதிப்பு 6.1.1 பாதிக்கப்படக்கூடியது DNS ரீபைண்டிங் மூலம் அங்கீகரிக்கப்படாத குருட்டு SSRF . விரிவான தகவல் மேலே உள்ள படம் 9 இல் காட்டப்பட்டுள்ளது.
WPScan பயனர்களைக் கணக்கிடுங்கள்
wpscan --dua --force --api-token [TOKEN] -e u -o பயனர் .txt -f cli --url [URL] 
படம் . வேர்ட்பிரஸ் பயனர்களின் கணக்கீடு
இலக்கு bssn.go.id மூன்று பயனர்களைக் கொண்டுள்ளது: admin-webbssn, adminbssn மற்றும் operatorbssn.
WPScan செருகுநிரல்களின் பாதிப்புகளைக் கணக்கிடுகிறது
wpscan --rua --force --api-token[TOKEN] -e vp -o plugin.txt -f cli --url[URL] 
படம் . வேர்ட்பிரஸ் செருகுநிரல் பாதிப்பு எண்ணிக்கை
மேலே உள்ள படத்தில் காட்டப்பட்டுள்ளபடி இலக்கு இரண்டு செருகுநிரல்களின் பாதிப்பைக் கொண்டுள்ளது. அவர்களில் ஒருவர், தி PHP பொருள் ஊசி கேட்க நன்றாயிருக்கிறது.
WPScan தீம்களின் பாதிப்புகளைக் கணக்கிடுகிறது
wpscan --rua --force --api-token[TOKEN] -e vt -o theme.txt -f cli --url[URL] 
படம் . வேர்ட்பிரஸ் தீம் பாதிப்பு எண்ணிக்கை
எங்கள் இலக்கில் இப்போது நான்கு தீம் பாதிப்புகள் உள்ளன, அவற்றில் ஒன்று முக்கியமான பாதிப்பைக் கொண்டுள்ளது. சிறப்புரிமை அதிகரிப்பு .
முடிவுரை
ஒரு வேர்ட்பிரஸ் இணையதளத்தில் பாதிப்பு ஸ்கேனிங் செய்வது எப்படி என்று கற்றுக்கொண்டோம். இந்த டுடோரியலில் நாங்கள் கண்டறிந்த பாதிப்பு சரிபார்க்கப்படவில்லை என்பதை நினைவில் கொள்ளவும். இணைய பயன்பாட்டு தகவல் சேகரிக்கும் கட்டத்தில், அனைத்து தகவல்களையும் சாத்தியமான பாதிப்புகளையும் நாங்கள் சேகரிக்கிறோம். பின்னர், அந்த உளவுத்துறையிலிருந்து, இலக்கை ஹேக் செய்ய முடியுமா என்பதைச் சரிபார்க்க, பாதிப்பு மதிப்பீட்டைச் செய்ய வேண்டும்.
உங்கள் தகவலுக்கு, மேலே உள்ள எங்கள் இலக்கு, BSSN என்பது இந்தோனேசிய அரசாங்க நிறுவனமாகும், அது ஜனாதிபதியின் கீழ் உள்ளது. பிஎஸ்எஸ்என் இணையப் பாதுகாப்புத் துறையில் அரசாங்கப் பணிகளைச் செய்யும் பணியையும், அரசாங்க செயல்பாடுகளை நிர்வகிப்பதில் ஜனாதிபதிக்கு உதவ சைபர்களையும் கொண்டுள்ளது. இணையப் பாதுகாப்புத் துறையில் ஒரு அரசு நிறுவனம் எப்படி இத்தகைய பாதிப்புகளைக் கொண்டிருக்க முடியும் என்று கற்பனை செய்து பாருங்கள்.