보안 공부/Web 보안

wordpress 취약점 진단 방법

H.J.World 2024. 1. 10. 20:30
728x90
반응형

정보 수집부터 보호 대책 까지

1. wordpress 사용 확인 : 점검을 수행할 대상에서 wordpress를 사용하고 있는지 확인한다.
- 메인 페이지나 특정(plugin을 사용하는) 페이지 접근 시 페이지 내 소스코드 또는 주석으로 wordpress 버번과 사용중인 plugin 이름, 버전 정보를 확인 할 수 있음.
- style 부분에서 사용중인 theme 정보를 확인할 수 있음

- 주로 사용하는 plogin -

 

-주석을 통해 wordpress 사용 여부 확인-

2. 정보수집
 1) cve 정보 수집
  - wordpress theme vulnerabilities

 2) nmap nse
 - http-wordpress-enum -> plugin, theme 정보 스캔
   > 명령어 : nmap -sV -p 80 --script http-wordpress-enum <ip>

 3) wpscan : WPScan은 Wordpress 전용 취약점 점검 Tool로 WordPress에 특화된 다양한 옵션을 제공
   > wpscan --url <ip> --enumerate p
 
3. 보안대책
- wordpress 최신 버전 업을 통한 패치
- 취약점 포인트 코드 패치 (소스코드 패치)

728x90
반응형