🏆 2024

맛집 분야 크리에이터

🏆 2023

IT 분야 크리에이터

👩‍❤️‍👨 구독자 수

182

✒️ 게시글 수

0
https://tistory1.daumcdn.net/tistory/4631271/skin/images/blank.png 네이버블로그

🩷 방문자 추이

오늘

어제

전체

🏆 인기글 순위

티스토리 뷰

도구/Tools

[WPScan] 워드프레스 취약점 스캐닝 도구 사용법

알 수 없는 사용자 2023. 4. 30. 00:00
728x90
반응형

WPScan은 워드프레스 기반 웹사이트의 보안 취약점을 탐지하고 분석하는 데 사용되는 무료 오픈 소스 도구입니다. 워드프레스의 플러그인, 테마, 사용자 등에 대한 정보를 수집하여 보안 취약점을 찾고, 이를 해결할 수 있는 권장 사항을 제공합니다. WPScan은 Kali Linux, Parrot Security OS와 같은 리눅스 배포판에 기본적으로 포함되어 있습니다.

 

1. WPScan 설치:
만약 WPScan이 설치되어 있지 않은 경우, 아래 명령어를 사용하여 설치할 수 있습니다.

sudo apt-get install wpscan

또는 아래 명령어를 사용하여 RubyGems를 통해 설치할 수도 있습니다.

gem install wpscan

 

2. WPScan 업데이트:
WPScan의 데이터베이스를 최신 상태로 유지하려면, 아래 명령어를 사용하여 업데이트하세요.

wpscan --update

 

3. 워드프레스 사이트 스캔:
간단한 스캔을 수행하려면, 아래 명령어를 사용하세요. 여기서 `example.com`을 스캔하고자 하는 웹사이트 주소로 변경해야 합니다.

wpscan --url http://example.com

 

4. 공격 기법 사용:
WPScan은 다양한 공격 기법을 사용하여 취약점을 찾을 수 있습니다. 예를 들어, 플러그인을 열거하거나 무차별 대입 공격을 시도할 수 있습니다.

 

- 플러그인 스캔:

wpscan --url http://example.com --enumerate p

 

- 테마 스캔:

wpscan --url http://example.com --enumerate t

 

- 사용자 스캔:

wpscan --url http://example.com --enumerate u

 

- 무차별 대입 공격 (브루트 포스):
먼저, 패스워드 사전 파일이 필요합니다. 그런 다음, 아래 명령어를 사용하여 무차별 대입 공격을 시도할 수 있습니다. 여기서 `wordlist.txt`를 사용하고 있는 패스워드 사전 파일로 변경해야 합니다.

wpscan --url http://example.com --passwords wordlist.txt --usernames admin

 

이상으로, WPScan의 주요 기능과 사용법에 대해 설명하였습니다. 이 도구를 사용하여 워드프레스 사이트의 보안을 강화하고 취약점을 해결할 수 있습니다.

반응형

5. 프록시 사용:
WPScan은 프록시를 사용하여 웹사이트를 스캔할 수 있습니다. 이렇게 하면 실제 IP 주소를 숨길 수 있습니다. 프록시를 사용하려면, 아래와 같이 `--proxy` 옵션을 추가하세요.

wpscan --url http://example.com --proxy http://proxy_ip:proxy_port

 

6. 스레딩 설정:
WPScan은 동시에 여러 요청을 처리할 수 있는 스레딩 기능을 지원합니다. 스레딩을 사용하면 스캔 시간을 단축할 수 있습니다. `--max-threads` 옵션을 사용하여 스레드 수를 설정할 수 있습니다.

wpscan --url http://example.com --max-threads 10

 

7. 출력 결과 저장:
WPScan의 결과를 파일로 저장하려면, `--output` 옵션을 사용하세요. 결과를 텍스트 파일 또는 JSON 형식으로 저장할 수 있습니다.

wpscan --url http://example.com --output result.txt

또는 JSON 형식으로 저장하려면:

wpscan --url http://example.com --output result.json --format json

 

위에서 설명한 기능 외에도 WPScan은 다양한 옵션을 제공하므로, 필요에 따라 사용법을 조절할 수 있습니다. 자세한 옵션 목록은 WPScan의 공식 문서나 `wpscan --help` 명령어를 통해 확인할 수 있습니다.

https://wpscan.com/wordpress-security-scanner

참고:

https://github.com/wpscanteam/wpscan

 

GitHub - wpscanteam/wpscan: WPScan WordPress security scanner. Written for security professionals and blog maintainers to test t

WPScan WordPress security scanner. Written for security professionals and blog maintainers to test the security of their WordPress websites. Contact us via contact@wpscan.com - GitHub - wpscanteam/...

github.com

https://wpscan.com/wordpress-security-scanner

 

WPScan: WordPress Security

A WordPress vulnerability database for WordPress core security vulnerabilities, plugin vulnerabilities and theme vulnerabilities.

wpscan.com

- 끝 -

728x90
반응형
저작자표시 비영리 변경금지

'도구 > Tools' 카테고리의 다른 글

intellij에서 VO getter, setter 자동으로 생성하는 방법  (2) 2024.10.07
[John The Ripper] /etc/shadow 파일 크래킹하는법  (0) 2023.04.29
[Recon] 특정 도메인에 어떤 URL/Path가 있는지 확인하고 싶다면? Wayback Machine  (0) 2023.04.24
[crunch] password dictionary 커스터마이징 하는 방법  (0) 2023.03.15
[webp converter] png나 jpeg 이미지 포맷을 webp 포맷으로 변경하는 방법  (0) 2022.04.26
댓글