quarta-feira, 8 de junho de 2016

Droopescan :: Um Scanner de Vulnerabilidades para CMS Drupal, Wordpress e SilverStripe.


O Droopescan é um utilitário muito bacana para fazer varreduras de módulos, métodos e diretórios em sites que são construídos em cima de Drupal e Wordpress. Seu diferencial é exatamente o Drupal, pois passa um baita pente fino nas vulnerabilidades criticas de diversas versões do Framework.
O DroopeScan não fica muito atrás quando se trata de Wordpress também, e pode ser uma alternativa válida ao wpscan.

Site do projeto: https://github.com/droope/droopescan

Instalação :: Clone

Para fazer o clone do projeto e em seguida rodar o PIP para instalar as dependências do projeto.
 git clone https://github.com/droope/droopescan.git  
 cd droopescan  
 pip install -r requirements.txt  
 ./droopescan scan --help  

Instalação :: PIP

O Droopescan também pode ser encontrado nos repositórios Python default. É só rodar o Pip install e esperar ele suprir as dependências do projeto
 apt-get install python-pip  
 pip install droopescan  


Scanneando CMS's com o Droopescan

Até o momento em que escrevo este artigo a ferramenta se encontra na versão 1.34.8, onde o mesmo possui testes automatizados de segurança para os ambientes:

  • Wordpress
  • Drupal
  • SilverStripe
  • Joomla (Ainda não completo) 


Especificando um CMS e Alvo:
 # ./droopescan scan <CMS> -u <URL>.com  
 # ./droopescan scan drupal -u drupal.localhost.com  
 # ./droopescan scan wordpress -u wordpress.localhost.com  

Passando uma lista de URL's para teste:
 # droopescan scan drupal -U lista.txt  

O pacote é bem legal e te proporciona vários testes em stage ou em local para muitos erros óbvios de desenvolvimento e versão de plugins com falhas de segurança. Vale a pena conferir e realizar os testes em ambientes de homologação ou até mesmo em produção.

Espero ter ajudado :)

SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

Postar um comentário

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com