O Droopescan é um utilitário muito bacana para fazer varreduras de módulos, métodos e diretórios em sites que são construídos em cima de Drupal e Wordpress. Seu diferencial é exatamente o Drupal, pois passa um baita pente fino nas vulnerabilidades criticas de diversas versões do Framework.
O DroopeScan não fica muito atrás quando se trata de Wordpress também, e pode ser uma alternativa válida ao wpscan.
Site do projeto: https://github.com/droope/droopescan
Instalação :: Clone
Para fazer o clone do projeto e em seguida rodar o PIP para instalar as dependências do projeto. git clone https://github.com/droope/droopescan.git
cd droopescan
pip install -r requirements.txt
./droopescan scan --help
Instalação :: PIP
O Droopescan também pode ser encontrado nos repositórios Python default. É só rodar o Pip install e esperar ele suprir as dependências do projeto apt-get install python-pip
pip install droopescan
Scanneando CMS's com o Droopescan
Até o momento em que escrevo este artigo a ferramenta se encontra na versão 1.34.8, onde o mesmo possui testes automatizados de segurança para os ambientes:- Wordpress
- Drupal
- SilverStripe
- Joomla (Ainda não completo)
Especificando um CMS e Alvo:
# ./droopescan scan <CMS> -u <URL>.com
# ./droopescan scan drupal -u drupal.localhost.com
# ./droopescan scan wordpress -u wordpress.localhost.com
Passando uma lista de URL's para teste:
# droopescan scan drupal -U lista.txt
O pacote é bem legal e te proporciona vários testes em stage ou em local para muitos erros óbvios de desenvolvimento e versão de plugins com falhas de segurança. Vale a pena conferir e realizar os testes em ambientes de homologação ou até mesmo em produção.
Espero ter ajudado :)
Nenhum comentário